Kẻ tấn công đã sử dụng dịch vụ web hosting để lưu trữ tất cả các trang web họp trực tuyến giả mạo trên một địa chỉ IP duy nhất. Các trang web giả mạo này đều hiển thị bằng tiếng Nga và sử dụng các URL gần giống với các trang web chính thống trên thực tế.
Chuỗi tấn công
Hình 1 minh họa cách phần mềm độc hại được phân phối và thực thi trên máy của nạn nhân trong chiến dịch này. Khi người dùng truy cập vào một trong các trang web giả mạo, nếu nhấp vào nút thực thi trên HĐH Android sẽ bắt đầu tải xuống tệp APK độc hại, trong khi nhấp vào nút dành cho Windows sẽ kích hoạt tải xuống tệp BAT. Tệp BAT khi được thực thi sẽ thực hiện các hành động bổ sung, thực thi tập lệnh PowerShell, sau đó tải xuống và thực thi payload RAT.
Hình 1. Chuỗi tấn công và luồng thực thi cho các chiến dịch trên Android và Windows
Ứng dụng trò chuyện
Trong quá trình phân tích, các nhà nghiên cứu đã phát hiện ra trang web giả mạo đầu tiên, đó là join-skype[.]info, được tạo vào đầu tháng 12/2023 để đánh lừa người dùng tải xuống một ứng dụng Skype giả mạo như trong Hình 2.
Hình 2 Trang web Skype giả mạo
Trên Windows, khi nhấp vào tải xuống sẽ trỏ đến một tệp có tên là Skype8[.]exe. Google Play trỏ đến Skype[.]apk (cả hai tệp này đều không có sẵn tại thời điểm phân tích). App Store của Apple sẽ chuyển hướng đến đường dẫn: https://go.skype.com/skype.download.for.phone.iphone, cho thấy các tác nhân đe dọa không nhắm mục tiêu đến người dùng iOS bằng phần mềm độc hại.
Google Meet
Vào cuối tháng 12/2023, kẻ tấn công đã tạo một trang web giả mạo khác tên là online-cloudmeeting[.]pro và mạo danh ứng dụng Google Meet (như trong Hình 3). Trang web này được lưu trữ trên online-cloudmeeting[.]pro/gry-ucdu-fhc/, trong đó đường dẫn phụ (subpath) gry-ucdu-fhc được cố ý tạo ra để giống với liên kết tham gia Google Meet. Mã lời mời Google Meet chính thống thường tuân theo cấu trúc [a-z]{3}-[a-z]{4}-[a-z]{3}.
Trang web cung cấp liên kết để tải xuống ứng dụng Skype giả mạo dành cho Android và Windows. Liên kết Windows dẫn đến tệp BAT có tên updateZoom20243001bit[.]bat, tệp này sẽ tải xuống payload cuối cùng có tên ZoomDirectUpdate[.]exe. Payload này là tệp lưu trữ WinRAR chứa DCRat, được đóng gói bằng Eziriz .NET Reactor. Trong khi đó, liên kết Android trong Hình 3 dẫn đến tệp APK SpyNote RAT có tên Meet.apk.
Hình 3. Trang Google Meet giả mạo
Zoom
Vào cuối tháng 01/2024, các nhà nghiên cứu đã quan sát thấy sự xuất hiện của một trang Zoom giả mạo (được hiển thị trong Hình 4) có tên là us06webzoomus[.]pro. Trang web này được lưu trữ tại địa chỉ URL: us06webzoomus[.]pro/l/62202342233720Yzhkb3dHQXczZG1XS1Z3Sk9kenpkZz09/, có một đường dẫn phụ gần giống với ID cuộc họp do ứng dụng Zoom tạo ra.
Nếu người dùng nhấp vào liên kết Google Play, một tệp có tên Zoom02[.]apk sẽ được tải xuống có chứa SpyNote RAT. Tương tự như trang Google Meet giả mạo, khi người dùng nhấp vào nút Windows, nó sẽ tải xuống tệp BAT và sau đó tải xuống payload DCRat.
Hình 4. Trang Zoom giả mạo
Chứa thư mục độc hại
Ngoài việc lưu trữ DCRat, các trang web Google Meet và Zoom giả mạo còn chứa một thư mục như trong Hình 5 với hai tệp thực thi Windows bổ sung có tên driver[.]exe và Meet[.]exe (bên trong kho lưu trữ gry-ucdu-fhc.zip), thực chất đây là phần mềm độc hại NjRAT. Sự hiện diện của các tệp này cho thấy kẻ tấn công có thể sử dụng chúng trong các chiến dịch khác, dựa trên các tên riêng biệt của chúng.
Hình 5. Ví dụ về các tệp độc hại bổ sung được lưu trữ trên các trang web hosting ứng dụng họp trực tuyến giả mạo
Sự phát triển này diễn ra khi Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) tiết lộ rằng một phần mềm độc hại mới có tên WogRAT đang nhắm mục tiêu trên Windows và Linux, bằng cách lạm dụng nền tảng Notepad trực tuyến miễn phí có tên là aNotepad làm vectơ bí mật để lưu trữ và truy xuất mã độc.
Khi WogRAT được thực thi lần đầu tiên, nó sẽ thu thập thông tin cơ bản của hệ thống bị nhiễm và gửi chúng đến máy chủ điều khiển và ra lệnh (C2). Phần mềm độc hại này cũng trùng hợp với các chiến dịch lừa đảo quy mô lớn được thực hiện bởi một nhóm tội phạm mạng có động cơ tài chính có tên là TA4903 dàn dựng, nhằm đánh cắp thông tin đăng nhập của các doanh nghiệp.
Công ty an ninh mạng Proofpoint (Hoa Kỳ) cho biết: “TA4903 thường xuyên tiến hành các chiến dịch giả mạo các thực thể Chính phủ Mỹ khác nhau để đánh cắp thông tin đăng nhập của doanh nghiệp. Nhóm tội phạm mạng này cũng giả mạo các tổ chức trong nhiều lĩnh vực khác nhau, bao gồm xây dựng, tài chính, y tế, thực phẩm và đồ uống”.
Sự phát triển của chiến dịch lừa đảo minh chứng rằng các doanh nghiệp có thể phải đối mặt với các mối đe dọa mạo danh các ứng dụng họp trực tuyến. Trong trường hợp này, các tác nhân đe dọa đã sử dụng những nền tảng này làm mồi nhử để phân phối RAT trên Android và Windows.
RAT có thể đánh cắp thông tin bí mật, ghi lại thao tác bàn phím và đánh cắp tệp. Điều này nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại các mối đe dọa phần mềm độc hại tiên tiến và đang phát triển cũng như tầm quan trọng của các bản cập nhật và bản vá bảo mật thường xuyên.
Nguyễn Lân
(Tổng hợp)
14:00 | 05/03/2024
14:00 | 28/10/2024
09:00 | 25/12/2023
13:00 | 23/10/2024
17:00 | 22/12/2023
14:00 | 06/12/2024
Các nhà nghiên cứu của Công ty an ninh mạng Trend Micro (Nhật Bản) cho biết, nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn là Salt Typhoon đã sử dụng backdoor GhostSpider mới trong các cuộc tấn công vào các nhà cung cấp dịch vụ viễn thông.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024