Kẻ tấn công đã sử dụng dịch vụ web hosting để lưu trữ tất cả các trang web họp trực tuyến giả mạo trên một địa chỉ IP duy nhất. Các trang web giả mạo này đều hiển thị bằng tiếng Nga và sử dụng các URL gần giống với các trang web chính thống trên thực tế.
Chuỗi tấn công
Hình 1 minh họa cách phần mềm độc hại được phân phối và thực thi trên máy của nạn nhân trong chiến dịch này. Khi người dùng truy cập vào một trong các trang web giả mạo, nếu nhấp vào nút thực thi trên HĐH Android sẽ bắt đầu tải xuống tệp APK độc hại, trong khi nhấp vào nút dành cho Windows sẽ kích hoạt tải xuống tệp BAT. Tệp BAT khi được thực thi sẽ thực hiện các hành động bổ sung, thực thi tập lệnh PowerShell, sau đó tải xuống và thực thi payload RAT.
Hình 1. Chuỗi tấn công và luồng thực thi cho các chiến dịch trên Android và Windows
Ứng dụng trò chuyện
Trong quá trình phân tích, các nhà nghiên cứu đã phát hiện ra trang web giả mạo đầu tiên, đó là join-skype[.]info, được tạo vào đầu tháng 12/2023 để đánh lừa người dùng tải xuống một ứng dụng Skype giả mạo như trong Hình 2.
Hình 2 Trang web Skype giả mạo
Trên Windows, khi nhấp vào tải xuống sẽ trỏ đến một tệp có tên là Skype8[.]exe. Google Play trỏ đến Skype[.]apk (cả hai tệp này đều không có sẵn tại thời điểm phân tích). App Store của Apple sẽ chuyển hướng đến đường dẫn: https://go.skype.com/skype.download.for.phone.iphone, cho thấy các tác nhân đe dọa không nhắm mục tiêu đến người dùng iOS bằng phần mềm độc hại.
Google Meet
Vào cuối tháng 12/2023, kẻ tấn công đã tạo một trang web giả mạo khác tên là online-cloudmeeting[.]pro và mạo danh ứng dụng Google Meet (như trong Hình 3). Trang web này được lưu trữ trên online-cloudmeeting[.]pro/gry-ucdu-fhc/, trong đó đường dẫn phụ (subpath) gry-ucdu-fhc được cố ý tạo ra để giống với liên kết tham gia Google Meet. Mã lời mời Google Meet chính thống thường tuân theo cấu trúc [a-z]{3}-[a-z]{4}-[a-z]{3}.
Trang web cung cấp liên kết để tải xuống ứng dụng Skype giả mạo dành cho Android và Windows. Liên kết Windows dẫn đến tệp BAT có tên updateZoom20243001bit[.]bat, tệp này sẽ tải xuống payload cuối cùng có tên ZoomDirectUpdate[.]exe. Payload này là tệp lưu trữ WinRAR chứa DCRat, được đóng gói bằng Eziriz .NET Reactor. Trong khi đó, liên kết Android trong Hình 3 dẫn đến tệp APK SpyNote RAT có tên Meet.apk.
Hình 3. Trang Google Meet giả mạo
Zoom
Vào cuối tháng 01/2024, các nhà nghiên cứu đã quan sát thấy sự xuất hiện của một trang Zoom giả mạo (được hiển thị trong Hình 4) có tên là us06webzoomus[.]pro. Trang web này được lưu trữ tại địa chỉ URL: us06webzoomus[.]pro/l/62202342233720Yzhkb3dHQXczZG1XS1Z3Sk9kenpkZz09/, có một đường dẫn phụ gần giống với ID cuộc họp do ứng dụng Zoom tạo ra.
Nếu người dùng nhấp vào liên kết Google Play, một tệp có tên Zoom02[.]apk sẽ được tải xuống có chứa SpyNote RAT. Tương tự như trang Google Meet giả mạo, khi người dùng nhấp vào nút Windows, nó sẽ tải xuống tệp BAT và sau đó tải xuống payload DCRat.
Hình 4. Trang Zoom giả mạo
Chứa thư mục độc hại
Ngoài việc lưu trữ DCRat, các trang web Google Meet và Zoom giả mạo còn chứa một thư mục như trong Hình 5 với hai tệp thực thi Windows bổ sung có tên driver[.]exe và Meet[.]exe (bên trong kho lưu trữ gry-ucdu-fhc.zip), thực chất đây là phần mềm độc hại NjRAT. Sự hiện diện của các tệp này cho thấy kẻ tấn công có thể sử dụng chúng trong các chiến dịch khác, dựa trên các tên riêng biệt của chúng.
Hình 5. Ví dụ về các tệp độc hại bổ sung được lưu trữ trên các trang web hosting ứng dụng họp trực tuyến giả mạo
Sự phát triển này diễn ra khi Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) tiết lộ rằng một phần mềm độc hại mới có tên WogRAT đang nhắm mục tiêu trên Windows và Linux, bằng cách lạm dụng nền tảng Notepad trực tuyến miễn phí có tên là aNotepad làm vectơ bí mật để lưu trữ và truy xuất mã độc.
Khi WogRAT được thực thi lần đầu tiên, nó sẽ thu thập thông tin cơ bản của hệ thống bị nhiễm và gửi chúng đến máy chủ điều khiển và ra lệnh (C2). Phần mềm độc hại này cũng trùng hợp với các chiến dịch lừa đảo quy mô lớn được thực hiện bởi một nhóm tội phạm mạng có động cơ tài chính có tên là TA4903 dàn dựng, nhằm đánh cắp thông tin đăng nhập của các doanh nghiệp.
Công ty an ninh mạng Proofpoint (Hoa Kỳ) cho biết: “TA4903 thường xuyên tiến hành các chiến dịch giả mạo các thực thể Chính phủ Mỹ khác nhau để đánh cắp thông tin đăng nhập của doanh nghiệp. Nhóm tội phạm mạng này cũng giả mạo các tổ chức trong nhiều lĩnh vực khác nhau, bao gồm xây dựng, tài chính, y tế, thực phẩm và đồ uống”.
Sự phát triển của chiến dịch lừa đảo minh chứng rằng các doanh nghiệp có thể phải đối mặt với các mối đe dọa mạo danh các ứng dụng họp trực tuyến. Trong trường hợp này, các tác nhân đe dọa đã sử dụng những nền tảng này làm mồi nhử để phân phối RAT trên Android và Windows.
RAT có thể đánh cắp thông tin bí mật, ghi lại thao tác bàn phím và đánh cắp tệp. Điều này nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại các mối đe dọa phần mềm độc hại tiên tiến và đang phát triển cũng như tầm quan trọng của các bản cập nhật và bản vá bảo mật thường xuyên.
Nguyễn Lân
(Tổng hợp)
14:00 | 05/03/2024
09:00 | 25/12/2023
17:00 | 22/12/2023
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024