Chiến dịch lừa đảo UpCrypter trong email thư thoại giả để phát tán mã độc RAT

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch lừa đảo mới sử dụng thư thoại và đơn đặt hàng giả để phân phối phần mềm độc hại có tên là UpCrypter.

Chiến dịch này lợi dụng "các email được thiết kế cẩn thận để gửi các URL độc hại liên kết đến các trang lừa đảo hấp dẫn", nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs cho biết. "Những trang này được thiết kế để dụ người nhận tải xuống các tệp JavaScript hoạt động như trình thả mã độc cho UpCrypter."

Các cuộc tấn công phát tán phần mềm độc hại chủ yếu nhắm vào các lĩnh vực sản xuất, công nghệ, chăm sóc sức khỏe, xây dựng và bán lẻ/khách sạn trên toàn thế giới kể từ đầu tháng 8 năm 2025. Phần lớn các vụ lây nhiễm được phát hiện ở Áo, Belarus, Canada, Ai Cập, Ấn Độ và Pakistan, cùng nhiều quốc gia khác.

UpCrypter hoạt động như một kênh dẫn cho nhiều công cụ truy cập từ xa (RAT) khác nhau, chẳng hạn như PureHVNC RAT, DCRat (hay còn gọi là DarkCrystal RAT) và Babylon RAT, mỗi công cụ đều cho phép kẻ tấn công kiểm soát hoàn toàn các máy chủ bị xâm phạm.

Điểm khởi đầu của chuỗi lây nhiễm là một email lừa đảo sử dụng các chủ đề liên quan đến tin nhắn thoại và giao dịch mua hàng để lừa người nhận nhấp vào các liên kết dẫn đến các trang đích giả mạo, từ đó họ được nhắc tải xuống tin nhắn thoại hoặc tài liệu PDF.

Fortinet cho biết: "Trang mồi nhử được thiết kế để trông có vẻ thuyết phục bằng cách không chỉ hiển thị chuỗi tên miền của nạn nhân trên banner mà còn lấy và nhúng logo của tên miền vào nội dung trang để tăng cường tính xác thực. Mục đích chính của nó là phát tán một tệp tải xuống độc hại."

Tải trọng được tải xuống là một tệp ZIP chứa tệp JavaScript được mã hóa, sau đó liên hệ với máy chủ bên ngoài để tải phần mềm độc hại ở giai đoạn tiếp theo, nhưng chỉ sau khi xác nhận kết nối internet và quét các quy trình đang chạy để tìm công cụ pháp y, trình gỡ lỗi hoặc môi trường hộp cát.

Đến lượt mình, trình tải sẽ liên hệ với cùng một máy chủ để lấy dữ liệu cuối cùng, ở dạng văn bản thuần túy hoặc được nhúng trong một hình ảnh trông có vẻ vô hại, một kỹ thuật gọi là thuật ẩn chữ.

Fortinet cho biết UpCrypter cũng được phân phối dưới dạng trình tải MSIL (Ngôn ngữ trung gian của Microsoft), giống như đối tác JavaScript của nó, thực hiện kiểm tra chống phân tích và chống máy ảo, sau đó tải xuống ba tải trọng khác nhau: một tập lệnh PowerShell được làm tối nghĩa, một DLL và tải trọng chính.

Cuộc tấn công kết thúc bằng việc mã độc nhúng dữ liệu từ trình tải DLL và payload trong quá trình thực thi, cho phép phần mềm độc hại chạy mà không cần ghi vào hệ thống tệp. Phương pháp này cũng có ưu điểm là giảm thiểu dấu vết pháp y, giúp phần mềm độc hại không bị phát hiện.

Lin cho biết: "Sự kết hợp giữa trình tải được duy trì tích cực, khả năng che giấu theo lớp và khả năng phân phối RAT đa dạng cho thấy một hệ sinh thái phân phối mối đe dọa có khả năng thích ứng, vượt qua được các biện pháp phòng thủ và duy trì tính bền bỉ trong nhiều môi trường khác nhau".

Tiết lộ này được đưa ra trong bối cảnh Check Point nêu chi tiết về một chiến dịch lừa đảo quy mô lớn lợi dụng Google Classroom để phát tán hơn 115.000 email lừa đảo nhắm vào 13.500 tổ chức trên nhiều ngành công nghiệp khác nhau từ ngày 6 đến ngày 12 tháng 8 năm 2025. Các cuộc tấn công này nhắm vào các tổ chức ở Châu Âu, Bắc Mỹ, Trung Đông và Châu Á.

"Những kẻ tấn công đã lợi dụng lòng tin này bằng cách gửi những lời mời giả mạo chứa các ưu đãi thương mại không liên quan, từ chào hàng bán lại sản phẩm đến dịch vụ SEO", công ty cho biết. "Mỗi email đều hướng dẫn người nhận liên hệ với kẻ lừa đảo qua số điện thoại WhatsApp, một chiến thuật thường liên quan đến các âm mưu lừa đảo."

Cuộc tấn công này vượt qua các hệ thống bảo mật vì nó lợi dụng sự tin cậy và uy tín của cơ sở hạ tầng Google Classroom để vượt qua các giao thức xác thực email quan trọng như SPF, DKIM và DMARC, đồng thời giúp đưa email lừa đảo vào hộp thư đến của người dùng.

Các chiến dịch này là một phần của xu hướng lớn hơn, trong đó các tác nhân đe dọa lợi dụng các dịch vụ hợp pháp như Microsoft 365 Direct Send và OneNote, chưa kể đến các trình xây dựng trang web sử dụng trí tuệ nhân tạo (AI) không bị lạm dụng như Vercel và Flazio, cũng như các dịch vụ như Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform và trình rút gọn liên kết t[.]co của X - một phương pháp được gọi là sống dựa trên các trang web đáng tin cậy ( LOTS ).

Varonis cho biết trong một báo cáo được công bố vào tháng trước: "Sau khi kẻ tấn công có được thông tin đăng nhập M365 của một người dùng trong một tổ chức thông qua một cuộc tấn công lừa đảo, chúng đã tạo một tệp OneNote trong thư mục Tài liệu cá nhân của người dùng bị xâm phạm trên OneDrive, nhúng URL dụ dỗ cho giai đoạn lừa đảo tiếp theo".

Việc sử dụng sai tính năng Gửi Trực tiếp đã khiến Microsoft phải giới thiệu một tùy chọn dành cho các tổ chức có tên " Từ chối Gửi Trực tiếp " để giải quyết trực tiếp vấn đề. Ngoài ra, khách hàng cũng có thể áp dụng chính sách đóng dấu tiêu đề và cách ly tùy chỉnh để phát hiện các email tự nhận là liên lạc nội bộ nhưng thực tế không phải.

Những diễn biến này cũng đi kèm với việc kẻ tấn công ngày càng dựa vào các kỹ thuật né tránh phía máy khách trên các trang lừa đảo để tránh né cả hệ thống phát hiện tự động lẫn các nhà phân tích. Điều này bao gồm việc sử dụng các kỹ thuật chặn dựa trên JavaScript, các mẫu "Trình duyệt trong Trình duyệt" (BitB) và lưu trữ các trang bên trong môi trường máy tính để bàn ảo bằng noVNC.

"Một phương pháp đáng chú ý đang ngày càng phổ biến là sử dụng các tập lệnh chống phân tích dựa trên JavaScript; những đoạn mã nhỏ nhưng hiệu quả được nhúng vào các trang lừa đảo, trang web hỗ trợ kỹ thuật giả mạo và các chuyển hướng độc hại", Doppel cho biết. "Khi phát hiện bất kỳ hoạt động nào như vậy, trang web sẽ ngay lập tức chuyển hướng người dùng đến một trang trống hoặc vô hiệu hóa các tương tác tiếp theo, chặn quyền truy cập trước khi bất kỳ cuộc kiểm tra sâu hơn nào có thể diễn ra."