VietNetwork.Vn

Một chiến dịch lừa đảo đang diễn ra sử dụng các chủ đề liên quan đến vi phạm bản quyền để lừa nạn nhân tải xuống phiên bản mới hơn của phần mềm đánh cắp thông tin Rhadamanthys kể từ tháng 7 năm 2024.

Công ty an ninh mạng Check Point đang theo dõi chiến dịch quy mô lớn dưới tên CopyRh(ight)adamantys. Các khu vực mục tiêu bao gồm Hoa Kỳ, Châu Âu, Đông Á và Nam Mỹ.


"Chiến dịch mạo danh hàng chục công ty, trong khi mỗi email được gửi đến một thực thể mục tiêu cụ thể từ một tài khoản Gmail khác nhau, điều chỉnh công ty bị mạo danh và ngôn ngữ cho từng thực thể mục tiêu", công ty cho biết trong một phân tích kỹ thuật. "Gần 70% các công ty bị mạo danh là từ các lĩnh vực Giải trí/Truyền thông và Công nghệ/Phần mềm".

Các cuộc tấn công đáng chú ý là việc triển khai phiên bản 0.7 của Rhadamanthys stealer, được Insikt Group của Recorded Future nêu chi tiết vào đầu tháng trước, tích hợp trí tuệ nhân tạo (AI) để nhận dạng ký tự quang học (OCR).

Công ty Israel cho biết hoạt động này trùng lặp với một chiến dịch mà Cisco Talos tiết lộ vào tuần trước là nhắm vào người dùng tài khoản quảng cáo và kinh doanh trên Facebook tại Đài Loan để phát tán phần mềm độc hại đánh cắp Lumma hoặc Rhadamanthys.

Chuỗi tấn công này được đặc trưng bởi việc sử dụng các chiến thuật lừa đảo qua email, bao gồm việc gửi các email có nội dung tuyên bố vi phạm bản quyền bằng cách mạo danh các công ty nổi tiếng.

Những email này được gửi từ tài khoản Gmail và tự nhận là từ đại diện hợp pháp của các công ty bị mạo danh. Nội dung của tin nhắn cáo buộc người nhận sử dụng sai thương hiệu của họ trên các nền tảng truyền thông xã hội và yêu cầu họ xóa các hình ảnh và video có liên quan.

Check Point cho biết: "Hướng dẫn xóa được cho là nằm trong một tệp được bảo vệ bằng mật khẩu. Tuy nhiên, tệp đính kèm là liên kết tải xuống đến   Đăng nhập để xem liên kết, được liên kết với tài khoản Gmail, chuyển hướng người dùng đến Dropbox hoặc Discord để tải xuống tệp lưu trữ được bảo vệ bằng mật khẩu (có mật khẩu được cung cấp trong email)".


Kho lưu trữ RAR chứa ba thành phần, một tệp thực thi hợp lệ dễ bị tấn công tải DLL, DLL độc hại chứa tải trọng đánh cắp và một tài liệu mồi. Sau khi chạy tệp nhị phân, nó sẽ tải tệp DLL, sau đó mở đường cho việc triển khai Rhadamanthys.

Check Point, đơn vị cho rằng chiến dịch này có thể do một nhóm tội phạm mạng thực hiện, cho biết có khả năng những kẻ tấn công đã sử dụng các công cụ AI do quy mô của chiến dịch và sự đa dạng của các mồi nhử và email gửi đến.

"Chiến dịch nhắm mục tiêu rộng rãi và bừa bãi vào các tổ chức trên nhiều khu vực cho thấy nó được dàn dựng bởi một nhóm tội phạm mạng có động cơ tài chính chứ không phải là một tác nhân quốc gia", báo cáo cho biết. "Phạm vi tiếp cận toàn cầu, các chiến thuật lừa đảo tự động và các mồi nhử đa dạng của nó cho thấy những kẻ tấn công liên tục phát triển để cải thiện tỷ lệ thành công của chúng".

Phần mềm độc hại SteelFox mới khai thác trình điều khiển dễ bị tấn công. Những phát hiện này được đưa ra khi Kaspersky làm sáng tỏ một "gói phần mềm độc hại đầy đủ tính năng" mới có tên là SteelFox được lan truyền qua các bài đăng trên diễn đàn, trình theo dõi torrent và blog, mạo danh các tiện ích hợp pháp như Foxit PDF Editor, JetBrains và AutoCAD.

Chiến dịch này, bắt đầu từ tháng 2 năm 2023, đã gây ra nạn nhân trên toàn thế giới, đặc biệt là những nạn nhân ở Brazil, Trung Quốc, Nga, Mexico, UAE, Ai Cập, Algeria, Việt Nam, Ấn Độ và Sri Lanka. Nó không được quy cho bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết.

"Được phân phối thông qua các chuỗi thực thi tinh vi bao gồm shellcoding, mối đe dọa này lạm dụng các dịch vụ và trình điều khiển Windows", nhà nghiên cứu bảo mật Kirill Korchemny cho biết. "Nó cũng sử dụng phần mềm độc hại đánh cắp để trích xuất dữ liệu thẻ tín dụng của nạn nhân cũng như thông tin chi tiết về thiết bị bị nhiễm".

Điểm khởi đầu là một ứng dụng dropper đóng giả các phiên bản bẻ khóa của phần mềm phổ biến, khi được thực thi, sẽ yêu cầu quyền truy cập của quản trị viên và thả trình tải giai đoạn tiếp theo, sau đó thiết lập tính bền bỉ và khởi chạy SteelFox DLL.

Quyền quản trị sau đó bị lạm dụng để tạo ra một dịch vụ chạy phiên bản cũ hơn của WinRing0.sys, một thư viện truy cập phần cứng dành cho Windows dễ bị tấn công bởi lỗ hổng CVE-2020-14979 và CVE-2021-41285, do đó cho phép kẻ tấn công có được đặc quyền NTSYSTEM.

"Trình điều khiển này cũng là một thành phần của trình khai thác XMRig, do đó nó được sử dụng cho mục đích khai thác", Korchemny lưu ý. "Sau khi khởi tạo trình điều khiển, mẫu sẽ khởi chạy trình khai thác. Đây là một tệp thực thi đã sửa đổi của XMRig với các trình lấp đầy mã rác. Nó kết nối với một nhóm khai thác với thông tin xác thực được mã hóa cứng".

Về phần mình, trình khai thác được tải xuống từ kho lưu trữ GitHub, đồng thời phần mềm độc hại cũng khởi tạo liên lạc với máy chủ từ xa qua TLS phiên bản 1.3 để đánh cắp dữ liệu nhạy cảm từ trình duyệt web, chẳng hạn như cookie, dữ liệu thẻ tín dụng, lịch sử duyệt web và những nơi đã truy cập, siêu dữ liệu hệ thống, phần mềm đã cài đặt và múi giờ, cùng nhiều dữ liệu khác.

"Việc sử dụng C++ hiện đại cực kỳ tinh vi kết hợp với các thư viện bên ngoài mang lại cho phần mềm độc hại này sức mạnh đáng gờm", Kaspersky cho biết. "Việc sử dụng TLSv1.3 và SSL pinning đảm bảo truyền thông an toàn và thu thập dữ liệu nhạy cảm".