Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới lợi dụng sự kết hợp giữa kỹ thuật xã hội (social engineering) và chiếm đoạt WhatsApp để phát tán một trojan ngân hàng dựa trên Delphi có tên Eternidade Stealer, nhắm mục tiêu vào người dùng ở Brazil.
"Nó sử dụng Internet Message Access Protocol (IMAP) để truy xuất động các địa chỉ command-and-control (C2), cho phép kẻ tấn công cập nhật máy chủ C2 của chúng," các nhà nghiên cứu Nathaniel Morales, John Basmayor và Nikita Kazymirskyi từ Trustwave SpiderLabs cho biết trong một phân tích kỹ thuật về chiến dịch được chia sẻ với The Hacker News.
"Nó được phân phối thông qua một chiến dịch WhatsApp worm, với kẻ tấn công hiện đang triển khai một Python script, một sự thay đổi từ các PowerShell-based script trước đây để chiếm đoạt WhatsApp và phát tán các tệp đính kèm độc hại.
Những phát hiện này được đưa ra ngay sau một chiến dịch khác có tên Water Saci đã nhắm mục tiêu vào người dùng Brazil bằng một worm lây lan qua WhatsApp Web được gọi là SORVEPOTEL, sau đó hoạt động như một kênh để phát tán Maverick, một trojan ngân hàng .NET được đánh giá là sự phát triển của một mã độc ngân hàng .NET có tên Coyote.
Nhóm Eternidade Stealer là một phần của hoạt động rộng lớn hơn đã lạm dụng sự phổ biến của WhatsApp tại quốc gia Nam Mỹ này để xâm nhập hệ thống của nạn nhân mục tiêu và sử dụng ứng dụng nhắn tin làm vector lây lan để khởi động các cuộc tấn công quy mô lớn chống lại các tổ chức ở Brazil.
Một xu hướng đáng chú ý khác là sự tiếp tục ưa thích mã độc dựa trên Delphi của các tác nhân đe dọa nhắm vào khu vực Mỹ Latinh, phần lớn không chỉ do hiệu quả kỹ thuật mà còn do ngôn ngữ lập trình này được giảng dạy và sử dụng trong phát triển phần mềm trong khu vực.
Điểm khởi đầu của cuộc tấn công là một Visual Basic Script bị làm rối mã (obfuscated), có các nhận xét được viết chủ yếu bằng tiếng Bồ Đào Nha. Script này, sau khi thực thi, sẽ thả một batch script chịu trách nhiệm phân phối hai payload, chia chuỗi lây nhiễm thành hai nhánh hiệu quả -
- Một Python script kích hoạt việc phát tán mã độc dựa trên WhatsApp Web theo kiểu worm
- Một trình cài đặt MSI sử dụng script AutoIt để khởi chạy Eternidade Stealer
Python script, tương tự như SORVEPOTEL, thiết lập giao tiếp với một máy chủ từ xa và tận dụng dự án mã nguồn mở WPPConnect để tự động gửi tin nhắn trong các tài khoản bị chiếm đoạt qua WhatsApp. Để làm điều này, nó thu thập toàn bộ danh sách liên hệ của nạn nhân, đồng thời lọc ra các nhóm, liên hệ doanh nghiệp và danh sách phát sóng.
Mã độc sau đó tiến hành thu thập, cho mỗi liên hệ, số điện thoại WhatsApp, tên và thông tin báo hiệu liệu đó có phải là một liên hệ đã lưu hay không. Thông tin này được gửi đến máy chủ do kẻ tấn công kiểm soát thông qua một HTTP POST request. Ở giai đoạn cuối cùng, một tệp đính kèm độc hại được gửi đến tất cả các liên hệ dưới dạng một tệp đính kèm độc hại bằng cách sử dụng một mẫu tin nhắn và điền vào các trường nhất định với lời chào dựa trên thời gian và tên liên hệ.
Giai đoạn thứ hai của cuộc tấn công bắt đầu với trình cài đặt MSI thả một số payload, bao gồm một script AutoIt kiểm tra xem hệ thống bị xâm nhập có ở Brazil hay không bằng cách kiểm tra ngôn ngữ hệ điều hành có phải là tiếng Bồ Đào Nha Brazil hay không. Nếu không, mã độc sẽ tự chấm dứt. Điều này cho thấy một nỗ lực nhắm mục tiêu siêu cục bộ từ phía các tác nhân đe dọa.
Script sau đó quét các tiến trình đang chạy và khóa registry để xác định sự hiện diện của các sản phẩm bảo mật đã cài đặt. Nó cũng lập hồ sơ máy và gửi chi tiết đến máy chủ command-and-control (C2). Cuộc tấn công kết thúc bằng việc mã độc tiêm payload Eternidade Stealer vào "svchost.exe" bằng kỹ thuật process hollowing.
Eternidade, một credential stealer dựa trên Delphi, liên tục quét các cửa sổ đang hoạt động và các tiến trình đang chạy để tìm các chuỗi liên quan đến các cổng ngân hàng, dịch vụ thanh toán và sàn giao dịch/ví tiền điện tử, chẳng hạn như Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask và Trust Wallet, cùng nhiều ứng dụng khác.
"Hành vi như vậy phản ánh một chiến thuật banker hoặc overlay-stealer cổ điển, trong đó các thành phần độc hại nằm im cho đến khi nạn nhân mở một ứng dụng ngân hàng hoặc ví được nhắm mục tiêu, đảm bảo cuộc tấn công chỉ kích hoạt trong các ngữ cảnh có liên quan và vẫn vô hình đối với người dùng thông thường hoặc các môi trường sandbox," các nhà nghiên cứu cho biết.
Khi tìm thấy một sự trùng khớp, nó liên hệ với một máy chủ C2, chi tiết của máy chủ này được lấy từ một hộp thư đến liên kết với địa chỉ email terra.com[.]br, phản ánh một chiến thuật gần đây được Water Saci áp dụng. Điều này cho phép các tác nhân đe dọa cập nhật C2 của họ, duy trì sự dai dẳng và né tránh các cơ chế phát hiện hoặc gỡ bỏ. Trong trường hợp mã độc không thể kết nối với tài khoản email bằng thông tin đăng nhập được mã hóa cứng (hard-coded credentials), nó sử dụng một địa chỉ C2 dự phòng được nhúng trong mã nguồn.
Ngay sau khi kết nối thành công với máy chủ được thiết lập, mã độc chờ đợi các tin nhắn đến, sau đó được xử lý và thực thi trên các máy chủ bị nhiễm, cho phép kẻ tấn công ghi lại thao tác bàn phím (keystrokes), chụp ảnh màn hình (screenshots) và đánh cắp tệp. Một số lệnh đáng chú ý được liệt kê dưới đây -
- <|OK|>, để thu thập thông tin hệ thống
- <|PING|>, để giám sát hoạt động người dùng và báo cáo cửa sổ đang hoạt động
- <|PedidoSenhas|>, để gửi một overlay tùy chỉnh nhằm đánh cắp thông tin đăng nhập dựa trên cửa sổ đang hoạt động
Trustwave cho biết phân tích cơ sở hạ tầng của tác nhân đe dọa đã dẫn đến việc phát hiện ra hai bảng điều khiển, một để quản lý Redirector System và một bảng đăng nhập khác, có khả năng được sử dụng để giám sát các máy chủ bị nhiễm. Redirector System chứa các bản ghi hiển thị tổng số lượt truy cập và chặn các kết nối cố gắng tiếp cận địa chỉ C2.
Mặc dù hệ thống chỉ cho phép truy cập vào các máy ở Brazil và Argentina, các kết nối bị chặn được chuyển hướng đến "google[.]com/error." Thống kê được ghi lại trên bảng điều khiển cho thấy 452 trong số 454 lượt truy cập đã bị chặn do các hạn chế geofencing. Chỉ hai lượt truy cập còn lại được cho là đã được chuyển hướng đến miền mục tiêu của chiến dịch.
Trong số 454 bản ghi liên lạc, 196 kết nối có nguồn gốc từ U.S., tiếp theo là Hà Lan (37), Đức (32), U.K. (23), Pháp (19) và Brazil (3). Hệ điều hành Windows chiếm 115 kết nối, mặc dù dữ liệu bảng điều khiển cho thấy các kết nối cũng đến từ macOS (94), Linux (45) và Android (18).
"Mặc dù họ mã độc và các vector phân phối chủ yếu là của Brazil, nhưng dấu chân hoạt động và mức độ phơi nhiễm của nạn nhân có thể mang tính toàn cầu hơn nhiều," Trustwave cho biết. "Các nhà bảo vệ an ninh mạng nên cảnh giác với hoạt động WhatsApp đáng ngờ, các lần thực thi MSI hoặc script không mong muốn và các chỉ số liên quan đến chiến dịch đang diễn ra này."
