VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một chiến dịch mới tận dụng sự kết hợp giữa kỹ thuật xã hội và tấn công WhatsApp để phát tán trojan ngân hàng dựa trên Delphi có tên là Eternidade Stealer như một phần của các cuộc tấn công nhắm vào người dùng ở Brazil.

Các nhà nghiên cứu Nathaniel Morales, John Basmayor và Nikita Kazymirskyi của Trustwave SpiderLabs cho biết trong bản phân tích kỹ thuật về chiến dịch được chia sẻ với The Hacker News: "Chiến dịch này sử dụng Giao thức truy cập tin nhắn Internet (IMAP) để truy xuất động các địa chỉ chỉ huy và kiểm soát (C2), cho phép kẻ tấn công cập nhật máy chủ C2 của mình".


"Nó được phát tán thông qua chiến dịch sâu WhatsApp, trong đó kẻ tấn công hiện đang triển khai một tập lệnh Python, một sự thay đổi từ các tập lệnh dựa trên PowerShell trước đây để chiếm quyền điều khiển WhatsApp và phát tán các tệp đính kèm độc hại.

Những phát hiện này xuất hiện ngay sau một chiến dịch khác có tên Water Saci, nhắm vào người dùng Brazil bằng một loại sâu lây lan qua WhatsApp Web có tên là SORVEPOTEL, sau đó hoạt động như một kênh truyền tải cho Maverick, một trojan ngân hàng .NET được đánh giá là sự tiến hóa của phần mềm độc hại ngân   Đăng nhập để xem liên kết có tên là Coyote.

Nhóm Eternidade Stealer là một phần của hoạt động rộng lớn hơn đã lợi dụng sự phổ biến của WhatsApp tại quốc gia Nam Mỹ này để xâm nhập vào hệ thống của nạn nhân và sử dụng ứng dụng nhắn tin này làm phương tiện phát tán để tiến hành các cuộc tấn công quy mô lớn vào các tổ chức của Brazil.

Một xu hướng đáng chú ý khác là sự ưa chuộng liên tục đối với phần mềm độc hại dựa trên Delphi đối với các tác nhân đe dọa nhắm vào Mỹ Latinh, chủ yếu không chỉ vì hiệu quả kỹ thuật mà còn vì ngôn ngữ lập trình này được dạy và sử dụng trong phát triển phần mềm ở khu vực này.

Điểm khởi đầu của cuộc tấn công là một tập lệnh Visual Basic được mã hóa, với các chú thích được viết chủ yếu bằng tiếng Bồ Đào Nha. Sau khi được thực thi, tập lệnh này sẽ thả một tập lệnh hàng loạt chịu trách nhiệm phân phối hai tải trọng, về cơ bản chia chuỗi lây nhiễm thành hai:

    Một tập lệnh Python kích hoạt WhatsApp phát tán phần mềm độc hại dựa trên web theo cách giống như sâu
    Trình cài đặt MSI sử dụng tập lệnh AutoIt để khởi chạy Eternidade Stealer

Tập lệnh Python, tương tự như SORVEPOTEL, thiết lập giao tiếp với máy chủ từ xa và tận dụng dự án nguồn mở WPPConnect để tự động gửi tin nhắn trong các tài khoản bị chiếm đoạt qua WhatsApp. Để thực hiện việc này, nó thu thập toàn bộ danh sách liên lạc của nạn nhân, đồng thời lọc ra các nhóm, liên hệ công việc và danh sách phát sóng.

Sau đó, phần mềm độc hại sẽ thu thập số điện thoại WhatsApp, tên và thông tin của từng liên hệ, báo hiệu liệu họ có phải là liên hệ đã lưu hay không. Thông tin này được gửi đến máy chủ do kẻ tấn công kiểm soát qua yêu cầu HTTP POST. Ở giai đoạn cuối, một tệp đính kèm độc hại được gửi đến tất cả các liên hệ dưới dạng tệp đính kèm độc hại bằng cách sử dụng mẫu tin nhắn và điền vào một số trường nhất định lời chào theo thời gian và tên liên hệ.


Giai đoạn thứ hai của cuộc tấn công bắt đầu bằng việc trình cài đặt MSI thả một số payload, bao gồm một tập lệnh AutoIt kiểm tra xem hệ thống bị xâm nhập có đặt tại Brazil hay không bằng cách kiểm tra xem ngôn ngữ hệ điều hành có phải là tiếng Bồ Đào Nha Brazil hay không. Nếu không, phần mềm độc hại sẽ tự hủy. Điều này cho thấy nỗ lực nhắm mục tiêu cực kỳ cục bộ của kẻ tấn công.

Sau đó, tập lệnh sẽ quét các tiến trình đang chạy và khóa registry để xác định sự hiện diện của các sản phẩm bảo mật đã cài đặt. Nó cũng lập hồ sơ máy tính và gửi thông tin chi tiết đến máy chủ chỉ huy và điều khiển (C2). Cuộc tấn công kết thúc bằng việc phần mềm độc hại chèn payload Eternidade Stealer vào "svchost.exe" bằng cách sử dụng kỹ thuật "process hollowing".

Eternidade, một công cụ đánh cắp thông tin đăng nhập dựa trên Delphi, liên tục quét các cửa sổ đang hoạt động và các tiến trình đang chạy để tìm chuỗi liên quan đến cổng thông tin ngân hàng, dịch vụ thanh toán, sàn giao dịch tiền điện tử và ví, chẳng hạn như Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask và Trust Wallet, cùng nhiều loại khác.

Các nhà nghiên cứu cho biết: "Hành vi như vậy phản ánh chiến thuật kinh điển của kẻ tấn công ngân hàng hoặc kẻ đánh cắp lớp phủ, trong đó các thành phần độc hại ẩn mình cho đến khi nạn nhân mở ứng dụng ngân hàng hoặc ví mục tiêu, đảm bảo cuộc tấn công chỉ kích hoạt trong các bối cảnh có liên quan và không thể phát hiện được đối với người dùng thông thường hoặc môi trường hộp cát".

Khi tìm thấy kết quả trùng khớp, nó sẽ liên hệ với máy chủ C2, thông tin chi tiết được lấy từ hộp thư đến được liên kết với địa chỉ email   Đăng nhập để xem liên kết[.]br, tương tự như chiến thuật gần đây được Water Saci áp dụng. Điều này cho phép kẻ tấn công cập nhật C2, duy trì sự tồn tại và tránh bị phát hiện hoặc gỡ bỏ. Trong trường hợp phần mềm độc hại không thể kết nối với tài khoản email bằng thông tin đăng nhập được mã hóa cứng, nó sẽ sử dụng địa chỉ C2 dự phòng được nhúng trong mã nguồn.

Ngay khi kết nối thành công với máy chủ, phần mềm độc hại sẽ chờ các tin nhắn đến, sau đó được xử lý và thực thi trên các máy chủ bị nhiễm, cho phép kẻ tấn công ghi lại các thao tác phím, chụp ảnh màn hình và đánh cắp tệp. Một số lệnh đáng chú ý được liệt kê dưới đây:

    <|OK|>, để thu thập thông tin hệ thống
    <|PING|>, để theo dõi hoạt động của người dùng và báo cáo cửa sổ đang hoạt động
    <|PedidoSenhas|>, để gửi lớp phủ tùy chỉnh cho hành vi trộm cắp thông tin xác thực dựa trên cửa sổ đang hoạt động

Trustwave cho biết việc phân tích cơ sở hạ tầng của các tác nhân đe dọa đã dẫn đến việc phát hiện ra hai bảng điều khiển, một để quản lý Hệ thống Redirector và một bảng điều khiển đăng nhập khác, có thể được sử dụng để giám sát các máy chủ bị nhiễm. Hệ thống Redirector chứa nhật ký hiển thị tổng số lượt truy cập và số lần chặn đối với các kết nối cố gắng truy cập địa chỉ C2.

Mặc dù hệ thống chỉ cho phép truy cập vào các máy chủ đặt tại Brazil và Argentina, các kết nối bị chặn sẽ được chuyển hướng đến "google[.]com/error". Thống kê được ghi nhận trên bảng điều khiển cho thấy 452 trong số 454 lượt truy cập đã bị chặn do hạn chế về hàng rào địa lý. Chỉ có hai lượt truy cập còn lại được cho là đã được chuyển hướng đến tên miền mục tiêu của chiến dịch.

Trong số 454 bản ghi giao tiếp, 196 kết nối đến từ Hoa Kỳ, tiếp theo là Hà Lan (37), Đức (32), Anh (23), Pháp (19) và Brazil (3). Hệ điều hành Windows chiếm 115 kết nối, mặc dù dữ liệu bảng điều khiển cho thấy các kết nối cũng đến từ macOS (94), Linux (45) và Android (18).

Trustwave cho biết: "Mặc dù họ phần mềm độc hại và các phương thức phát tán chủ yếu đến từ Brazil, nhưng dấu vết hoạt động và khả năng tiếp cận nạn nhân lại mang tính toàn cầu hơn nhiều. Các chuyên gia bảo mật mạng nên luôn cảnh giác với các hoạt động WhatsApp đáng ngờ, các hành vi MSI hoặc thực thi tập lệnh bất ngờ, cũng như các dấu hiệu liên quan đến chiến dịch đang diễn ra này."