Một chiến dịch lừa đảo (phishing) đang diễn ra nhằm vào các môi trường doanh nghiệp nói tiếng Pháp bằng các sơ yếu lý lịch giả mạo, dẫn đến việc triển khai các công cụ đào tiền mã hóa (cryptocurrency miners) và đánh cắp thông tin (information stealers).
Các nhà nghiên cứu của Securonix, Shikha Sangwan, Akshay Gaikwad và Aaron Beardslee, đã cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: "Chiến dịch này sử dụng các tệp VBScript bị làm rối mã (obfuscated) cao, ngụy trang thành tài liệu sơ yếu lý lịch/CV, được gửi qua email lừa đảo (phishing emails)."
Khi được thực thi, mã độc sẽ triển khai một bộ công cụ đa năng kết hợp đánh cắp thông tin xác thực (credential theft), rò rỉ dữ liệu (data exfiltration) và đào tiền mã hóa Monero để tối đa hóa lợi nhuận.
Chiến dịch FAUX#ELEVATE
Hoạt động này đã được công ty an ninh mạng đặt tên mã là FAUX#ELEVATE. Chiến dịch này đáng chú ý vì lạm dụng các dịch vụ và hạ tầng hợp pháp, chẳng hạn như Dropbox để lưu trữ các payload, các trang WordPress ở Morocco để lưu trữ cấu hình C2 (command-and-control), và hạ tầng SMTP của mail[.]ru để đánh cắp thông tin xác thực trình duyệt và các tệp trên máy tính.
Đây là một ví dụ về kiểu tấn công living-off-the-land, nâng cao mức độ phức tạp trong cách những kẻ tấn công có thể đánh lừa các cơ chế phòng thủ và xâm nhập vào hệ thống mục tiêu mà không gây nhiều chú ý.
Cơ chế hoạt động
Tệp dropper ban đầu là một Visual Basic Script (VBScript) mà khi mở ra, sẽ hiển thị một thông báo lỗi tiếng Pháp giả mạo, đánh lừa người nhận tin rằng tệp bị hỏng. Tuy nhiên, điều xảy ra đằng sau hậu trường là script bị làm rối mã mạnh mẽ này chạy một loạt kiểm tra để né tránh sandboxes và đi vào một vòng lặp User Account Control (UAC) dai dẳng, nhắc nhở người dùng chạy nó với quyền quản trị viên.
Đáng chú ý, trong số 224.471 dòng của script, chỉ có 266 dòng chứa mã thực thi thực sự. Phần còn lại của script chứa đầy các bình luận rác với các câu tiếng Anh ngẫu nhiên, làm tăng kích thước tệp lên 9.7MB.
Các nhà nghiên cứu cho biết thêm: "Mã độc cũng sử dụng một cổng domain-join bằng cách dùng WMI [Windows Management Instrumentation], đảm bảo rằng các payload chỉ được gửi đến các máy tính doanh nghiệp, và các hệ thống cá nhân độc lập bị loại trừ hoàn toàn."
Ngay sau khi dropper có được quyền quản trị, nó nhanh chóng vô hiệu hóa các kiểm soát bảo mật và che dấu vết bằng cách cấu hình đường dẫn loại trừ Microsoft Defender cho tất cả các ổ đĩa chính (từ C đến I), vô hiệu hóa UAC thông qua thay đổi Windows Registry và tự xóa.
Dropper cũng chịu trách nhiệm lấy hai kho lưu trữ 7-Zip được bảo vệ bằng mật khẩu riêng biệt được lưu trữ trên Dropbox -
- gmail2.7z, chứa các tệp thực thi khác nhau để đánh cắp dữ liệu và đào tiền mã hóa.
- gmail_ma.7z, chứa các tiện ích để duy trì quyền truy cập (persistence) và dọn dẹp (cleanup).
Công cụ và kỹ thuật
Trong số các công cụ được sử dụng để tạo điều kiện đánh cắp thông tin xác thực là một thành phần tận dụng dự án ChromElevator để trích xuất dữ liệu nhạy cảm từ các trình duyệt dựa trên Chromium bằng cách vượt qua các biện pháp bảo vệ mã hóa gắn với ứng dụng (ABE). Một số công cụ khác bao gồm -
- mozilla.vbs, một mã độc VBScript để đánh cắp hồ sơ và thông tin xác thực của Mozilla Firefox.
- walls.vbs, một payload VBScript để rò rỉ tệp trên màn hình nền (desktop file exfiltration).
- mservice.exe, một công cụ đào tiền mã hóa XMRig được khởi chạy sau khi lấy cấu hình đào từ một trang WordPress ở Morocco đã bị xâm nhập.
- WinRing0x64.sys, một driver kernel hợp pháp của Windows được sử dụng để mở khóa toàn bộ tiềm năng đào của CPU.
- RuntimeHost.exe, một thành phần Trojan (persistent Trojan) dai dẳng sửa đổi các quy tắc của Windows Firewall và giao tiếp định kỳ với máy chủ C2.
Dữ liệu trình duyệt duy nhất được đánh cắp bằng cách sử dụng hai tài khoản gửi thư mail[.]ru riêng biệt ("[email protected]" và "[email protected]") có cùng mật khẩu qua SMTP đến một địa chỉ email khác do tác nhân đe dọa ("[email protected]") vận hành.
Khi các hoạt động đánh cắp thông tin xác thực và rò rỉ dữ liệu hoàn tất, chuỗi tấn công sẽ bắt đầu dọn dẹp mạnh mẽ tất cả các công cụ đã thả để giảm thiểu dấu vết pháp y, chỉ để lại công cụ đào tiền và Trojan.
Kết luận và nguy hiểm
Securonix cho biết: "Chiến dịch FAUX#ELEVATE cho thấy một hoạt động tấn công đa giai đoạn, được tổ chức tốt, kết hợp một số kỹ thuật đáng chú ý vào một chuỗi lây nhiễm duy nhất."
Điều khiến chiến dịch này đặc biệt nguy hiểm đối với các nhóm bảo mật doanh nghiệp là tốc độ thực thi nhanh chóng, toàn bộ chuỗi lây nhiễm hoàn tất trong khoảng 25 giây từ khi thực thi VBS ban đầu đến khi đánh cắp thông tin xác thực, và việc nhắm mục tiêu chọn lọc vào các máy tính đã tham gia miền (domain-joined machines), đảm bảo rằng mỗi máy chủ bị xâm nhập đều mang lại giá trị tối đa thông qua việc đánh cắp thông tin xác thực của công ty và chiếm quyền tài nguyên liên tục (persistent resource hijacking).
