Các chuyên gia săn lùng mối đe dọa đã phát hiện ra những điểm tương đồng giữa một mã độc ngân hàng có tên Coyote và một chương trình độc hại mới được tiết lộ có tên Maverick, được lây lan qua WhatsApp.
Theo một báo cáo từ CyberProof, cả hai chủng mã độc đều được viết bằng .NET, nhắm mục tiêu vào người dùng và ngân hàng Brazil, đồng thời có chức năng giống hệt nhau để giải mã, nhắm mục tiêu vào các URL ngân hàng và giám sát các ứng dụng ngân hàng. Quan trọng hơn, cả hai đều có khả năng lây lan qua WhatsApp Web.
Maverick lần đầu tiên được ghi nhận bởi Trend Micro vào đầu tháng trước, được gán cho tác nhân đe dọa có tên Water Saci. Chiến dịch này bao gồm hai thành phần: Một mã độc tự lây lan được gọi là SORVEPOTEL, lây lan qua phiên bản web máy tính của WhatsApp và được sử dụng để phân phối một tệp ZIP chứa payload Maverick.
Mã độc được thiết kế để giám sát các tab cửa sổ trình duyệt đang hoạt động để tìm các URL khớp với danh sách cứng các tổ chức tài chính ở Châu Mỹ Latinh. Nếu các URL khớp, nó sẽ thiết lập liên lạc với một máy chủ từ xa để lấy các lệnh tiếp theo nhằm thu thập thông tin hệ thống và phân phát các trang lừa đảo (phishing) để đánh cắp thông tin đăng nhập.
Công ty an ninh mạng Sophos, trong một báo cáo sau đó, là công ty đầu tiên đưa ra khả năng liệu hoạt động này có liên quan đến các chiến dịch đã được báo cáo trước đó đã phát tán Coyote nhắm mục tiêu vào người dùng ở Brazil và liệu Maverick có phải là một sự tiến hóa của Coyote hay không. Một phân tích khác từ Kaspersky phát hiện rằng Maverick chứa nhiều đoạn mã trùng lặp với Coyote, nhưng lưu ý rằng họ đang coi nó là một mối đe dọa hoàn toàn mới nhắm mục tiêu vào Brazil trên diện rộng.
Những phát hiện mới nhất từ CyberProof cho thấy tệp ZIP chứa một lối tắt Windows (LNK) mà khi người dùng khởi chạy, nó sẽ chạy cmd.exe hoặc PowerShell để kết nối với một máy chủ bên ngoài ("zapgrande[.]com") để tải xuống payload giai đoạn đầu. Script PowerShell có khả năng khởi chạy các công cụ trung gian được thiết kế để vô hiệu hóa Microsoft Defender Antivirus và UAC, cũng như truy xuất một .NET loader.
Loader, về phần mình, có các kỹ thuật chống phân tích để kiểm tra sự hiện diện của các công cụ reverse engineering và tự hủy nếu được tìm thấy. Loader sau đó tiến hành tải xuống các module chính của cuộc tấn công: SORVEPOTEL và Maverick. Điều đáng nói ở đây là Maverick chỉ được cài đặt sau khi đảm bảo rằng nạn nhân ở Brazil bằng cách kiểm tra múi giờ, ngôn ngữ, khu vực và định dạng ngày giờ của máy chủ bị nhiễm.
CyberProof cho biết họ cũng tìm thấy bằng chứng về việc mã độc được sử dụng để nhắm mục tiêu cụ thể vào các khách sạn ở Brazil, cho thấy khả năng mở rộng mục tiêu.
Tiết lộ này được đưa ra khi Trend Micro trình bày chi tiết chuỗi tấn công mới của Water Saci sử dụng cơ sở hạ tầng command-and-control (C2) dựa trên email, dựa vào tính bền vững đa vector và kết hợp một số kiểm tra nâng cao để tránh bị phát hiện, tăng cường khả năng hoạt động ẩn danh và hạn chế thực thi chỉ trên các hệ thống tiếng Bồ Đào Nha.
"Chuỗi tấn công mới cũng có hệ thống command-and-control từ xa tinh vi cho phép các tác nhân đe dọa quản lý theo thời gian thực, bao gồm tạm dừng, tiếp tục và giám sát chiến dịch mã độc, biến các máy bị nhiễm thành công cụ botnet để thực hiện các hoạt động phối hợp, năng động trên nhiều điểm cuối."
Công ty an ninh mạng cho biết trong một báo cáo được công bố vào cuối tháng trước.
Trình tự lây nhiễm bỏ qua các tệp nhị phân .NET để ưu tiên Visual Basic Script (VB Script) và PowerShell để chiếm quyền điều khiển các phiên trình duyệt WhatsApp và lây lan tệp ZIP qua ứng dụng nhắn tin. Tương tự như chuỗi tấn công trước đó, việc chiếm quyền WhatsApp Web được thực hiện bằng cách tải xuống ChromeDriver và Selenium để tự động hóa trình duyệt.
Cuộc tấn công được kích hoạt khi người dùng tải xuống và giải nén tệp ZIP, bao gồm một trình tải xuống VBS bị xáo trộn ("Orcamento.vbs" hay còn gọi là SORVEPOTEL), sau đó, lần lượt, phát hành lệnh PowerShell để tải xuống và thực thi một script PowerShell ("tadeu.ps1") trực tiếp trong bộ nhớ.
Script PowerShell này được sử dụng để kiểm soát phiên WhatsApp Web của nạn nhân và phân phối các tệp ZIP độc hại cho tất cả các liên hệ liên quan đến tài khoản của họ, đồng thời hiển thị một banner lừa đảo có tên "WhatsApp Automation v6.0" để che giấu mục đích độc hại. Hơn nữa, script liên hệ với một máy chủ C2 để lấy các mẫu tin nhắn và trích xuất danh sách liên hệ.
Trend Micro cho biết:
"Sau khi chấm dứt bất kỳ tiến trình Chrome hiện có nào và xóa các phiên cũ để đảm bảo hoạt động sạch sẽ, mã độc sẽ sao chép dữ liệu hồ sơ Chrome hợp pháp của nạn nhân vào không gian làm việc tạm thời của nó. Dữ liệu này bao gồm cookies, authentication tokens và phiên trình duyệt đã lưu."
"Kỹ thuật này cho phép mã độc hoàn toàn bỏ qua xác thực của WhatsApp Web, có quyền truy cập ngay lập tức vào tài khoản WhatsApp của nạn nhân mà không kích hoạt cảnh báo bảo mật hoặc yêu cầu quét mã QR."
Công ty an ninh mạng cho biết thêm, mã độc cũng triển khai cơ chế điều khiển từ xa tinh vi cho phép kẻ tấn công tạm dừng, tiếp tục và giám sát quá trình lây lan của WhatsApp theo thời gian thực, biến nó thành một mã độc có khả năng kiểm soát các máy chủ bị xâm nhập như một bot.
Về cách nó thực sự phân phối tệp ZIP, mã PowerShell lặp qua mọi liên hệ đã thu thập và kiểm tra lệnh tạm dừng trước khi gửi tin nhắn được cá nhân hóa bằng cách thay thế các biến trong mẫu tin nhắn bằng lời chào dựa trên thời gian và tên liên hệ.
Một khía cạnh quan trọng khác của SORVEPOTEL là nó tận dụng các kết nối IMAP đến các tài khoản email terra.com[.]br bằng cách sử dụng thông tin đăng nhập email được mã hóa cứng để kết nối với tài khoản email và truy xuất các lệnh thay vì sử dụng giao tiếp dựa trên HTTP truyền thống. Một số tài khoản này đã được bảo mật bằng multi-factor authentication (MFA) để ngăn chặn truy cập trái phép.
Lớp bảo mật bổ sung này được cho là đã gây ra sự chậm trễ trong hoạt động vì mỗi lần đăng nhập yêu cầu tác nhân đe dọa phải nhập thủ công một mã xác thực một lần để truy cập hộp thư đến và lưu URL máy chủ C2 được sử dụng để gửi lệnh. Backdoor sau đó định kỳ thăm dò máy chủ C2 để lấy hướng dẫn. Danh sách các lệnh được hỗ trợ như sau:
- INFO, để thu thập thông tin hệ thống chi tiết
- CMD, để chạy một lệnh qua cmd.exe và xuất kết quả thực thi ra một tệp tạm thời
- POWERSHELL, để chạy một lệnh PowerShell
- SCREENSHOT, để chụp ảnh màn hình
- TASKLIST, để liệt kê tất cả các tiến trình đang chạy
- KILL, để chấm dứt một tiến trình cụ thể
- LIST_FILES, để liệt kê các tệp/thư mục
- DOWNLOAD_FILE, để tải tệp từ hệ thống bị nhiễm
- UPLOAD_FILE, để tải tệp lên hệ thống bị nhiễm
- DELETE, để xóa các tệp/thư mục cụ thể
- RENAME, để đổi tên các tệp/thư mục
- COPY, để sao chép các tệp/thư mục
- MOVE, để di chuyển các tệp/thư mục
- FILE_INFO, để lấy siêu dữ liệu chi tiết về một tệp
- SEARCH, để tìm kiếm đệ quy các tệp khớp với các mẫu đã chỉ định
- CREATE_FOLDER, để tạo thư mục
- REBOOT, để khởi động lại hệ thống với độ trễ 30 giây
- SHUTDOWN, để tắt hệ thống với độ trễ 30 giây
- UPDATE, để tải xuống và cài đặt phiên bản cập nhật của chính nó
- CHECK_EMAIL, để kiểm tra email do kẻ tấn công kiểm soát để tìm các URL C2 mới
Tính chất lây lan rộng của chiến dịch được thúc đẩy bởi sự phổ biến của WhatsApp ở Brazil, với hơn 148 triệu người dùng hoạt động, biến nó thành thị trường lớn thứ hai trên thế giới sau Ấn Độ.
"Các phương pháp lây nhiễm và sự tiến hóa chiến thuật đang diễn ra, cùng với việc nhắm mục tiêu theo khu vực, cho thấy Water Saci có khả năng liên quan đến Coyote, và cả hai chiến dịch đều hoạt động trong cùng một hệ sinh thái tội phạm mạng Brazil."
Trend Micro cho biết, mô tả những kẻ tấn công là hung hãn về "số lượng và chất lượng."
"Việc liên kết chiến dịch Water Saci với Coyote cho thấy một bức tranh lớn hơn, thể hiện sự thay đổi đáng kể trong các phương pháp lây lan của banking trojan. Các tác nhân đe dọa đã chuyển từ việc dựa vào các payload truyền thống sang khai thác các hồ sơ trình duyệt hợp pháp và nền tảng nhắn tin cho các cuộc tấn công ẩn danh, có khả năng mở rộng."
