Phần mềm độc hại ResolverRAT Tránh Bị Phát Hiện, Tấn Công Các Công Ty Dược Phẩm Và Y Tế

ResolverRAT, một loại phần mềm độc không để lại dấu vết, đang nhắm vào ngành y tế và dược phẩm bằng những cuộc tấn công dựa trên việc lừa dối qua email, Morphisec Labs đã cảnh báo.

Một biến thể malware mới và nguy hiểm có tên là ResolverRAT đã được phát hiện bởi Morphisec Labs, và nó đã được sử dụng trong các cuộc tấn công mạng được nhắm mục tiêu đến các tổ chức y tế và dược phẩm trên toàn thế giới.

Morphisec cho biết rằng ResolverRAT là một Trojan Truy cập Từ xa (RAT) được thiết kế để tránh bị phát hiện và phân tích. Không giống như malware truyền thống, ResolverRAT hoạt động hoàn toàn trong bộ nhớ và không để lại tệp trên đĩa, điều này khiến nó khó bị phát hiện hơn rất nhiều khi sử dụng các công cụ diệt virus truyền thống.

Mối đe dọa này lần đầu tiên được phát hiện trong các cuộc tấn công chống lại khách hàng của Morphisec, cụ thể là trong ngành y tế, với làn sóng mới nhất diễn ra vào ngày 10 tháng 3, 2025.

Các nhà nghiên cứu giải thích rằng ResolverRAT sử dụng các email lừa đảo rất thực tế trong nhiều ngôn ngữ để đánh lừa nhân viên công ty tải về các tệp bị nhiễm. Các email đe dọa hậu quả pháp lý như vi phạm bản quyền để ép người nhận nhấp vào.

“Những chiến dịch này phản ánh xu hướng lừa đảo cục bộ hóa đang diễn ra,” Morphisec ghi chú, giải thích rằng việc tùy chỉnh ngôn ngữ và chủ đề theo quốc gia tăng khả năng ai đó sẽ bị lừa trong vụ lừa đảo.

Một khi đã xâm nhập vào hệ thống, ResolverRAT tải một chương trình độc hại ẩn sử dụng một phương pháp được gọi là tải DLL bên cạnh, thường được che đậy trong một ứng dụng hợp pháp. Điều này cho phép phần mềm độc hại lẻn vào mà không kích hoạt cảnh báo.

Phần mềm độc hại sử dụng các kỹ thuật mã hóa mạnh mẽ và làm mờ để che giấu mục đích thực sự của nó. Nó hoạt động chỉ trong bộ nhớ máy tính, tránh sử dụng các tệp hệ thống thông thường, và thậm chí tạo ra các chứng chỉ giả để vượt qua việc giám sát mạng an toàn.

Thiết kế của nó bao gồm nhiều phương pháp để ở ẩn và hoạt động, ngay cả khi một số phương pháp bị chặn. Nó tự cài đặt mình vào các phần khác nhau của hệ thống và sử dụng danh sách lưu động của các máy chủ cùng với giao tiếp được mã hóa để tránh bị phát hiện.

Morphisec cảnh báo rằng ResolverRAT có vẻ như là một phần của một hoạt động toàn cầu, với nhiều điểm tương đồng với các cuộc tấn công mạng đã biết. Các công cụ, kỹ thuật được chia sẻ, thậm chí cả tên file giống hệt nhau đều gợi ý về một nỗ lực phối hợp hoặc nguồn lực được chia sẻ giữa các nhóm đe dọa.

“Gia đình malware mới này đặc biệt nguy hiểm đối với các công ty y tế và dược phẩm do họ nắm giữ dữ liệu nhạy cảm,” Morphisec cho biết.

Để chống lại những mối đe dọa như ResolverRAT, Morphisec đề xuất phương pháp tự động di chuyển mục tiêu phòng thủ (AMTD) của mình, ngăn chặn các cuộc tấn công ở giai đoạn sớm nhất bằng cách liên tục thay đổi bề mặt tấn công, làm cho việc tìm kiếm mục tiêu trở nên khó khăn hơn cho malware.

ResolverRAT là một ví dụ rõ ràng về cách tội phạm mạng tinh vi đang phát triển – và lý do tại sao những lĩnh vực quan trọng như y tế phải luôn đi trước một bước.