Phần mềm độc hại Typhon

Typhon lần đầu tiên được phát hiện vào tháng 8/2022 bởi các nhà nghiên cứu tại công ty an ninh mạng Cyble, bao gồm nhiều tính năng nổi bật để thu thập thông tin như chiếm quyền điều khiển clipboard, chụp ảnh màn hình, ghi lại các thao tác bàn phím và đánh cắp dữ liệu từ ví điện tử, ứng dụng nhắn tin, FTP, VPN, trình duyệt cũng như nhiều trò chơi khác nhau. Dựa trên một phần mềm độc hại đánh cắp thông tin có tên là “Prynt Stealer”, Typhon cũng có khả năng cung cấp công cụ khai thác tiền điện tử XMRig. Vào tháng 11/2022, nhóm nghiên cứu mối đe dọa Unit 42 của hãng bảo mật Palo Alto Networks đã phát hiện một phiên bản cập nhật có tên là Typhon Reborn.

Theo báo cáo từ công ty bảo mật Cisco Talos, phiên bản Typhon Reborn V2 mới bắt đầu được quảng bá trên các diễn đàn ngầm từ tháng 1/2023 và đã được mua nhiều lần. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra các mẫu của Typhon Reborn V2 trên thực tế đã xuất hiện từ tháng 12/2022. Nhà nghiên cứu Edmund Brumaghin của Cisco Talos cho biết: “Trình đánh cắp có thể thu thập và lọc thông tin nhạy cảm, đồng thời sử dụng API Telegram để gửi dữ liệu bị đánh cắp cho tin tặc”.

Phiên bản mới khác biệt

Các nhà nghiên cứu của Unit 42 chia sẻ rằng: “Phiên bản phần mềm độc hại mới này đã tăng cường các kỹ thuật chống phân tích và được sửa đổi để cải thiện các tính năng đánh cắp dữ liệu, đồng thời loại bỏ các tính năng hiện có như keylogging và khai thác tiền điện tử nhằm giảm cơ hội bị phát hiện”. Theo Cisco Talos, cơ sở mã cho Typhon Reborn V2 đã được sửa đổi rất nhiều để khiến cho mã độc trở nên mạnh mẽ, đáng tin cậy và ổn định hơn. Việc làm xáo trộn chuỗi đã được cải tiến bằng cách sử dụng mã hóa Base64 và XOR, khiến cho việc phân tích phần mềm độc hại trở thành một nhiệm vụ khó khăn hơn.

Giải mã chuỗi

Các nhà nghiên cứu đã nhận thấy một cơ chế toàn diện hơn để tránh lây nhiễm cho các máy phân tích, khi Typhon Reborn V2 xem xét nhiều tiêu chí bao gồm tên người dùng, CPUID, ứng dụng, quy trình, trình gỡ lỗi/kiểm tra mô phỏng và dữ liệu định vị vị trí trước khi thực thi các quy trình độc hại. Tương tự như các phần mềm độc hại khác, Typhon Reborn V2 đi kèm với các tùy chọn tránh lây nhiễm diện rộng trên nhiều quốc gia để tránh bị phát hiện, cụ thể Typhon Reborn V2 sẽ không lây nhiễm ở các hệ thống được đặt tại các nước thuộc Cộng đồng các quốc gia độc lập (CIS). 

Danh sách loại trừ lây nhiễm mặc định

Tính năng mới đáng chú ý nhất là quy trình của Typhon để kiểm tra xem nó có chạy trên môi trường của nạn nhân chứ không phải máy chủ mô phỏng trên máy tính của nhà nghiên cứu hay không. Điều này bao gồm kiểm tra thông tin GPU, DLL được liên kết với phần mềm bảo mật, video controller đối với các chỉ số VM, thực hiện kiểm tra registry, tên người dùng,…

Kiểm tra được thực hiện bởi Typhon Reborn V2

Khả năng đánh cắp nhiều hơn

Khả năng thu thập dữ liệu đã được mở rộng trong Typhon Reborn V2 vì giờ đây nó nhắm mục tiêu vào một số lượng lớn ứng dụng, bao gồm cả ứng dụng khách chơi trò chơi. Tuy nhiên, có vẻ như tính năng này vẫn chưa hoạt động vì nó không thực thi trong các mẫu do Cisco Talos phân tích.

Các ứng dụng được nhắm mục tiêu bởi phiên bản Typhon Reborn V2

Typhon vẫn nhắm mục tiêu vào nhiều ứng dụng email, ứng dụng nhắn tin, ứng dụng ví tiền điện tử và tiện ích mở rộng trình duyệt, ứng dụng khách FTP, VPN và thông tin được lưu trữ trong trình duyệt web. Nó cũng có thể chụp ảnh màn hình từ thiết bị bị xâm nhập.

Chức năng chụp màn hình

Ngoài ra, một tính năng nổi bật khác là thành phần lấy tệp mới cho phép tin tặc có thể tìm kiếm và trích xuất các tệp cụ thể.

Cấu hình tùy chỉnh xác định loại tệp bị đánh cắp 

Bên cạnh việc kết hợp nhiều kiểm tra chống phân tích và chống ảo hóa hơn, Typhon Reborn V2 loại bỏ các tính năng liên tục của nó, thay vào đó chọn tự chấm dứt sau khi trích xuất dữ liệu. Brumaghin cho biết: “Một khi dữ liệu đã được truyền thành công tới tin tặc, kho lưu trữ sẽ bị xóa khỏi hệ thống bị lây nhiễm. Phần mềm độc hại sau đó ra lệnh với chức năng tự động xóa để chấm dứt thực thi”.

Cuối cùng, phần mềm độc hại truyền dữ liệu đã thu thập được trong một kho lưu trữ nén thông qua HTTPS bằng cách sử dụng API Telegram, đây cũng là phương pháp được lựa chọn trong phiên bản đầu tiên của Typhon, qua đó cho thấy các tin tặc tiếp tục lạm dụng trên những nền tảng nhắn tin để thực hiện các hành vi độc hại.

Lọc dữ liệu của nạn nhân 

Phân tích của Cisco Talos có thể giúp các nhà nghiên cứu phần mềm độc hại đưa ra các cơ chế phát hiện thích hợp cho phiên bản Typhon mới, vì chi phí tương đối thấp và khả năng giúp tăng mức độ phổ biến của nó. Bên cạnh phần mềm độc hại Typhon Reborn, Cyble cũng tiết lộ một phần mềm độc hại đánh cắp dựa trên Python mới có tên Creal nhắm mục tiêu đến người dùng tiền điện tử thông qua các trang web lừa đảo, bắt chước các dịch vụ khai thác tiền điện tử hợp pháp như Kryptex.

Phần mềm độc hại này giống Typhon Reborn ở chỗ nó được trang bị để đánh cắp các cookie và mật khẩu từ những trình duyệt web dựa trên Chromium cũng như dữ liệu từ các ứng dụng nhắn tin, trò chơi và ví tiền điện tử. Điều này cho thấy, mã nguồn của phần mềm độc hại có sẵn trên GitHub, do đó các tác nhân đe dọa khác có thể thay đổi phần mềm độc hại cho phù hợp với nhu cầu của chúng và biến nó thành một mối đe dọa tiềm ẩn. Cyble cho biết trong một báo cáo gần đây: “Creal Stealer có khả năng đánh cắp dữ liệu bằng cách sử dụng các tính năng webhook của Discord cùng nhiều nền tảng lưu trữ và chia sẻ như Anonfiles và Gofile. Xu hướng sử dụng mã nguồn mở trong phần mềm độc hại đang được các tin tặc gia tăng sử dụng, vì nó cho phép chúng tạo ra các cuộc tấn công tinh vi và tùy chỉnh với chi phí tối thiểu”.