VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một chiến dịch mới sử dụng sự kết hợp giữa mồi nhử ClickFix và các trang web giả mạo dành cho người lớn để lừa người dùng chạy các lệnh độc hại dưới vỏ bọc là bản cập nhật bảo mật Windows "quan trọng".

"Chiến dịch này lợi dụng các trang web người lớn giả mạo (xHamster, bản sao của PornHub) làm cơ chế lừa đảo, có khả năng được phát tán thông qua quảng cáo độc hại", Acronis cho biết trong một báo cáo mới được chia sẻ với The Hacker News. "Chủ đề người lớn, và khả năng liên quan đến các trang web mờ ám, làm tăng thêm áp lực tâm lý buộc nạn nhân phải tuân thủ việc cài đặt 'bản cập nhật bảo mật' đột ngột."


Các cuộc tấn công kiểu ClickFix đã gia tăng mạnh mẽ trong năm qua, thường lừa người dùng chạy các lệnh độc hại trên máy tính của họ bằng cách sử dụng lời nhắc sửa lỗi kỹ thuật hoặc hoàn tất kiểm tra xác minh CAPTCHA. Theo dữ liệu từ Microsoft, ClickFix đã trở thành phương thức truy cập ban đầu phổ biến nhất, chiếm 47% các cuộc tấn công.

Chiến dịch mới nhất hiển thị màn hình cập nhật Windows giả mạo cực kỳ giống thật nhằm dụ nạn nhân chạy mã độc, cho thấy kẻ tấn công đang dần từ bỏ các chiêu trò kiểm tra robot truyền thống. Hoạt động này được công ty an ninh mạng có trụ sở tại Singapore đặt tên mã là JackFix.

Có lẽ khía cạnh đáng lo ngại nhất của cuộc tấn công là cảnh báo cập nhật Windows giả mạo sẽ chiếm toàn bộ màn hình và hướng dẫn nạn nhân mở hộp thoại Chạy Windows, nhấn Ctrl + V và nhấn Enter, do đó kích hoạt chuỗi lây nhiễm.

Người ta đánh giá rằng điểm khởi đầu của cuộc tấn công là một trang web giả mạo dành cho người lớn, nơi người dùng không nghi ngờ bị chuyển hướng đến thông qua quảng cáo độc hại hoặc các phương pháp kỹ thuật xã hội khác, chỉ để đột nhiên cung cấp cho họ một "bản cập nhật bảo mật khẩn cấp". Một số phiên bản của các trang web này đã được phát hiện bao gồm các bình luận của nhà phát triển bằng tiếng Nga, ám chỉ khả năng có tác nhân đe dọa nói tiếng Nga.

"Màn hình Windows Update được tạo hoàn toàn bằng mã HTML và JavaScript, và sẽ bật lên ngay khi nạn nhân tương tác với bất kỳ thành phần nào trên trang web lừa đảo", nhà nghiên cứu bảo mật Eliad Kimhy cho biết. "Trang web này cố gắng chuyển sang chế độ toàn màn hình thông qua mã JavaScript, đồng thời tạo ra một cửa sổ Windows Update khá giống thật với nền xanh và chữ trắng, gợi nhớ đến màn hình xanh chết chóc khét tiếng của Windows."

Điều đáng chú ý về cuộc tấn công này là nó chủ yếu dựa vào kỹ thuật che giấu để che giấu mã liên quan đến ClickFix, đồng thời chặn người dùng thoát khỏi cảnh báo toàn màn hình bằng cách vô hiệu hóa các nút Escape và F11, cùng với các phím F5 và F12. Tuy nhiên, do lỗi logic, người dùng vẫn có thể nhấn nút Escape và F11 để thoát khỏi chế độ toàn màn hình.

Lệnh ban đầu được thực thi là một payload MSHTA được khởi chạy bằng tệp nhị phân mshta.exe hợp lệ, chứa JavaScript được thiết kế để chạy lệnh PowerShell nhằm truy xuất một tập lệnh PowerShell khác từ máy chủ từ xa. Các tên miền này được thiết kế sao cho việc điều hướng trực tiếp đến các địa chỉ này sẽ chuyển hướng người dùng đến một trang web an toàn như Google hoặc Steam.

"Chỉ khi trang web được truy cập thông qua lệnh PowerShell irm hoặc iwr, nó mới phản hồi với mã chính xác", Acronis giải thích. "Điều này tạo ra một lớp bảo mật bổ sung và ngăn chặn phân tích."


Tập lệnh PowerShell đã tải xuống cũng tích hợp nhiều cơ chế che giấu và chống phân tích, một trong số đó là sử dụng mã rác để làm phức tạp các nỗ lực phân tích. Nó cũng cố gắng nâng cao đặc quyền và tạo các loại trừ của Microsoft Defender Antivirus cho các địa chỉ và đường dẫn chỉ huy và kiểm soát (C2) nơi các payload được dàn dựng.

Để đạt được mục đích leo thang đặc quyền, phần mềm độc hại sử dụng lệnh ghép ngắn Start-Process kết hợp với tham số "-Verb RunAs" để khởi chạy PowerShell với quyền quản trị và liên tục yêu cầu cấp quyền cho đến khi nạn nhân cấp quyền. Khi bước này thành công, tập lệnh được thiết kế để thả thêm các payload, chẳng hạn như trojan truy cập từ xa (RAT) đơn giản được lập trình để liên lạc với máy chủ C2, có lẽ là để thả thêm phần mềm độc hại.

Tập lệnh PowerShell cũng được quan sát thấy có thể phục vụ tới tám tải trọng khác nhau, với Acronis mô tả nó là "ví dụ điển hình nhất về kiểu tấn công rải rác". Trong số đó có Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey, cũng như các trình tải và RAT không xác định khác.

"Nếu chỉ một trong những payload này chạy thành công, nạn nhân có nguy cơ mất mật khẩu, ví tiền điện tử, v.v.", Kimhy nói. "Trong trường hợp một vài trình tải này, kẻ tấn công có thể chọn đưa thêm các payload khác vào cuộc tấn công, và cuộc tấn công có thể nhanh chóng leo thang hơn nữa."

Tiết lộ này được đưa ra khi Huntress trình bày chi tiết về chuỗi thực thi phần mềm độc hại nhiều giai đoạn có nguồn gốc từ một mồi nhử ClickFix ngụy trang thành bản cập nhật Windows và triển khai phần mềm độc hại đánh cắp như Lumma và Rhadamanthys bằng cách che giấu các giai đoạn cuối cùng trong hình ảnh, một kỹ thuật được gọi là thuật ẩn chữ.

Giống như trường hợp của chiến dịch đã đề cập ở trên, lệnh ClickFix được sao chép vào bảng tạm và dán vào hộp thoại Chạy sẽ sử dụng mshta.exe để chạy một tải trọng JavaScript có khả năng chạy tập lệnh PowerShell được lưu trữ từ xa trực tiếp trong bộ nhớ.

Mã PowerShell được sử dụng để giải mã và khởi chạy một payload hợp   Đăng nhập để xem liên kết, một trình tải được gọi là Stego Loader, đóng vai trò như một đường dẫn để thực thi shellcode Donut được ẩn trong một tệp PNG nhúng và mã hóa. Shellcode được trích xuất sau đó được đưa vào một tiến trình mục tiêu để cuối cùng triển khai Lumma hoặc Rhadamanthys.


Điều thú vị là một trong những miền được Huntress liệt kê là được sử dụng để tải tập lệnh PowerShell ("securitysettings[.]live") cũng đã được Acronis đánh dấu, cho thấy hai cụm hoạt động này có thể liên quan đến nhau.

Các nhà nghiên cứu bảo mật Ben Folland và Anna Pham cho biết trong báo cáo: "Kẻ đe dọa thường thay đổi URI (/tick.odd, /gpsc.dat, /ercx.dat, v.v.) được sử dụng để lưu trữ giai đoạn mshta.exe đầu tiên".

"Ngoài ra, tác nhân đe dọa đã chuyển từ lưu trữ giai đoạn thứ hai trên miền securitysettings[.]live sang lưu trữ trên xoiiasdpsdoasdpojas[.]com, mặc dù cả hai đều trỏ đến cùng một địa chỉ IP 141.98.80[.]175, cũng được sử dụng để phân phối giai đoạn đầu tiên [tức là mã JavaScript do mshta.exe chạy]."

ClickFix đã trở nên cực kỳ thành công nhờ một phương pháp đơn giản nhưng hiệu quả, đó là dụ người dùng tự lây nhiễm vào máy tính của họ và vượt qua các biện pháp kiểm soát bảo mật. Các tổ chức có thể phòng ngừa các cuộc tấn công như vậy bằng cách đào tạo nhân viên phát hiện mối đe dọa tốt hơn và vô hiệu hóa hộp thoại Run của Windows thông qua thay đổi Registry hoặc Chính sách Nhóm.