Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch mới lợi dụng sự kết hợp giữa các chiêu trò ClickFix và các trang web người lớn giả mạo để lừa người dùng chạy các lệnh độc hại dưới chiêu bài cập nhật bảo mật Windows "quan trọng".
"Chiến dịch lợi dụng các trang web người lớn giả mạo (bản sao của xHamster, PornHub) làm cơ chế lừa đảo (phishing), có thể được phân phối qua quảng cáo độc hại (malvertising)", Acronis cho biết trong một báo cáo mới được chia sẻ với The Hacker News. "Chủ đề người lớn, và khả năng liên quan đến các trang web không rõ nguồn gốc, làm tăng áp lực tâm lý cho nạn nhân phải tuân thủ việc cài đặt 'cập nhật bảo mật' đột ngột."
Các cuộc tấn công kiểu ClickFix đã gia tăng mạnh mẽ trong năm qua, thường lừa người dùng tự chạy các lệnh độc hại trên máy của họ bằng cách đưa ra các yêu cầu khắc phục kỹ thuật hoặc hoàn thành các kiểm tra CAPTCHA. Theo dữ liệu từ Microsoft, ClickFix đã trở thành phương pháp truy cập ban đầu phổ biến nhất, chiếm 47% các cuộc tấn công.
Chiến dịch mới nhất hiển thị các màn hình cập nhật Windows giả mạo rất thuyết phục nhằm khiến nạn nhân chạy mã độc, cho thấy những kẻ tấn công đang rời xa các chiêu trò kiểm tra robot truyền thống. Hoạt động này đã được công ty an ninh mạng có trụ sở tại Singapore đặt tên mã là JackFix.
Có lẽ khía cạnh đáng lo ngại nhất của cuộc tấn công là cảnh báo cập nhật Windows giả mạo chiếm toàn bộ màn hình và hướng dẫn nạn nhân mở hộp thoại Run của Windows, nhấn Ctrl + V và nhấn Enter, từ đó kích hoạt chuỗi lây nhiễm.
Người ta đánh giá rằng điểm khởi đầu của cuộc tấn công là một trang web người lớn giả mạo mà người dùng không nghi ngờ bị chuyển hướng đến thông qua malvertising hoặc các phương pháp kỹ thuật xã hội khác, chỉ để đột ngột nhận được "cập nhật bảo mật khẩn cấp". Một số phiên bản của các trang web này đã được tìm thấy bao gồm các bình luận của nhà phát triển bằng tiếng Nga, gợi ý khả năng có một tác nhân đe dọa nói tiếng Nga.
"Màn hình cập nhật Windows được tạo hoàn toàn bằng mã HTML và JavaScript, và bật lên ngay khi nạn nhân tương tác với bất kỳ yếu tố nào trên trang web lừa đảo (phishing site)", nhà nghiên cứu bảo mật Eliad Kimhy cho biết. "Trang này cố gắng hiển thị toàn màn hình thông qua mã JavaScript, đồng thời tạo ra một cửa sổ cập nhật Windows khá thuyết phục bao gồm nền xanh và văn bản trắng, gợi nhớ đến màn hình xanh chết chóc (blue screen of death) khét tiếng của Windows."
Điều đáng chú ý về cuộc tấn công là nó phụ thuộc rất nhiều vào obfuscation (che giấu mã) để che giấu mã liên quan đến ClickFix, cũng như chặn người dùng thoát khỏi cảnh báo toàn màn hình bằng cách vô hiệu hóa các nút Escape và F11, cùng với các phím F5 và F12. Tuy nhiên, do logic bị lỗi, người dùng vẫn có thể nhấn các nút Escape và F11 để thoát khỏi chế độ toàn màn hình.
Phân tích kỹ thuật cuộc tấn công
Lệnh ban đầu được thực thi là một payload MSHTA được khởi chạy bằng cách sử dụng binary mshta.exe hợp pháp, binary này lần lượt chứa JavaScript được thiết kế để chạy lệnh PowerShell nhằm truy xuất một script PowerShell khác từ máy chủ từ xa. Các domain này được thiết kế sao cho việc điều hướng trực tiếp đến các địa chỉ này sẽ chuyển hướng người dùng đến một trang web lành tính như Google hoặc Steam.
"Chỉ khi trang web được truy cập thông qua lệnh PowerShell irm hoặc iwr thì nó mới phản hồi bằng mã chính xác", Acronis giải thích. "Điều này tạo ra một lớp obfuscation và ngăn chặn phân tích bổ sung."
Script PowerShell được tải xuống cũng chứa nhiều cơ chế obfuscation và chống phân tích khác nhau, một trong số đó là việc sử dụng mã rác để làm phức tạp các nỗ lực phân tích. Nó cũng cố gắng nâng cao đặc quyền và tạo các ngoại lệ Microsoft Defender Antivirus cho các địa chỉ C2 (command-and-control) và các đường dẫn nơi các payload được dàn dựng.
Để đạt được quyền nâng cao (privilege escalation), phần mềm độc hại sử dụng Start-Process cmdlet kết hợp với tham số "-Verb RunAs" để khởi chạy PowerShell với quyền quản trị và liên tục nhắc nhở cấp quyền cho đến khi nạn nhân đồng ý. Sau khi bước này thành công, script được thiết kế để thả các payload bổ sung, chẳng hạn như các trojan truy cập từ xa (RATs) đơn giản được lập trình để liên hệ với máy chủ C2, có lẽ để thả thêm phần mềm độc hại.
Script PowerShell cũng đã được quan sát thấy phục vụ tới tám payload khác nhau, với Acronis mô tả đây là "ví dụ tồi tệ nhất về tấn công kiểu rải và cầu nguyện (spray and pray)". Chúng bao gồm Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey, cũng như các loader và RATs không xác định khác.
"Nếu chỉ một trong số các payload này chạy thành công, nạn nhân có nguy cơ mất mật khẩu, ví crypto và nhiều thứ khác", Kimhy nói. "Trong trường hợp một vài loader này – kẻ tấn công có thể chọn đưa thêm các payload khác vào cuộc tấn công, và cuộc tấn công có thể nhanh chóng leo thang hơn nữa."
Chiến dịch ClickFix tương tự của Huntress
Thông tin này được đưa ra khi Huntress đã mô tả chi tiết một chuỗi thực thi phần mềm độc hại đa giai đoạn bắt nguồn từ một chiêu trò ClickFix giả mạo dưới dạng cập nhật Windows và triển khai phần mềm độc hại stealer như Lumma và Rhadamanthys bằng cách che giấu các giai đoạn cuối cùng bên trong một hình ảnh, một kỹ thuật được gọi là steganography.
Tương tự như trường hợp của chiến dịch đã đề cập ở trên, lệnh ClickFix được sao chép vào clipboard và dán vào hộp thoại Run sử dụng mshta.exe để chạy payload JavaScript có khả năng chạy script PowerShell được lưu trữ từ xa trực tiếp trong bộ nhớ.
Mã PowerShell được sử dụng để giải mã và khởi chạy một payload assembly .NET, một loader có tên là Stego Loader đóng vai trò là cầu nối cho việc thực thi shellcode được đóng gói bằng Donut được ẩn trong một tệp PNG được nhúng và mã hóa. Shellcode được trích xuất sau đó được tiêm vào một tiến trình mục tiêu để cuối cùng triển khai Lumma hoặc Rhadamanthys.
Điều thú vị là, một trong những domain được Huntress liệt kê là được sử dụng để tìm nạp script PowerShell ("securitysettings[.]live") cũng đã được Acronis gắn cờ, cho thấy hai cụm hoạt động này có thể liên quan đến nhau.
"Tác nhân đe dọa thường xuyên thay đổi URI (/tick.odd, /gpsc.dat, /ercx.dat, v.v.) được sử dụng để lưu trữ giai đoạn mshta.exe đầu tiên", các nhà nghiên cứu bảo mật Ben Folland và Anna Pham cho biết trong báo cáo.
"Ngoài ra, tác nhân đe dọa đã chuyển từ lưu trữ giai đoạn thứ hai trên domain securitysettings[.]live sang xoiiasdpsdoasdpojas[.]com, mặc dù cả hai đều trỏ đến cùng một địa chỉ IP 141.98.80[.]175, địa chỉ này cũng được sử dụng để phân phối giai đoạn đầu tiên [tức là mã JavaScript được chạy bởi mshta.exe]."
ClickFix đã trở nên cực kỳ thành công vì nó dựa trên một phương pháp đơn giản nhưng hiệu quả, đó là dụ người dùng tự lây nhiễm vào máy của họ và bỏ qua các biện pháp kiểm soát bảo mật. Các tổ chức có thể tự bảo vệ khỏi các cuộc tấn công như vậy bằng cách đào tạo nhân viên để nhận biết mối đe dọa tốt hơn và vô hiệu hóa hộp Run của Windows thông qua các thay đổi Registry hoặc Group Policy.
