VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một chiến dịch lừa đảo phát tán phần mềm độc hại ngân hàng bí mật chuyển thành trojan truy cập từ xa có tên là MostereRAT.

Fortinet FortiGuard Labs cho biết cuộc tấn công lừa đảo này kết hợp một số kỹ thuật trốn tránh tiên tiến để giành quyền kiểm soát hoàn toàn các hệ thống bị xâm phạm, đánh cắp dữ liệu nhạy cảm và mở rộng chức năng bằng cách cung cấp các plugin phụ.


Yurren Wan cho biết : "Những điều này bao gồm việc sử dụng Ngôn ngữ lập trình dễ dàng (EPL) để phát triển tải trọng theo giai đoạn, che giấu các hoạt động độc hại và vô hiệu hóa các công cụ bảo mật để ngăn chặn các cảnh báo kích hoạt, bảo mật thông tin liên lạc chỉ huy và kiểm soát (C2) bằng TLS tương hỗ (mTLS), hỗ trợ nhiều phương pháp khác nhau để triển khai tải trọng bổ sung và thậm chí cài đặt các công cụ truy cập từ xa phổ biến ".

EPL là một ngôn ngữ lập trình trực quan ít người biết đến, hỗ trợ tiếng Trung phồn thể, tiếng Trung giản thể, tiếng Anh và tiếng Nhật. Ngôn ngữ này chủ yếu dành cho những người dùng có thể không thành thạo tiếng Anh.

Các email này, chủ yếu được thiết kế để nhắm vào người dùng Nhật Bản, sử dụng các chiêu trò liên quan đến yêu cầu kinh doanh để lừa người nhận nhấp vào các liên kết độc hại dẫn họ đến một trang web bị nhiễm để tải xuống một tài liệu có chứa bẫy - một tệp Microsoft Word nhúng tệp ZIP.

Trong tệp ZIP có một tệp thực thi, kích hoạt việc thực thi MostereRAT, sau đó được sử dụng để vô hiệu hóa một số công cụ như AnyDesk, TigerVNC và TightVNC bằng các mô-đun được viết bằng EPL. Một khía cạnh đáng chú ý của phần mềm độc hại này là khả năng vô hiệu hóa các cơ chế bảo mật của Windows và chặn lưu lượng mạng liên quan đến một danh sách các chương trình bảo mật được mã hóa cứng, do đó cho phép nó tránh bị phát hiện.

Wan cho biết: "Kỹ thuật chặn lưu lượng này tương tự như công cụ ' EDRSilencer ' của nhóm đỏ, sử dụng bộ lọc Windows Filtering Platform (WFP) ở nhiều giai đoạn của ngăn xếp truyền thông mạng, ngăn chặn hiệu quả việc kết nối với máy chủ và truyền dữ liệu phát hiện, cảnh báo, nhật ký sự kiện hoặc dữ liệu đo từ xa khác".

Một tính năng khác là khả năng chạy như TrustedInstaller, một tài khoản hệ thống Windows tích hợp với quyền cao hơn, cho phép can thiệp vào các quy trình quan trọng của Windows, sửa đổi các mục nhập Windows Registry và xóa các tệp hệ thống.

Hơn nữa, một trong những mô-đun do MostereRAT triển khai được trang bị để giám sát hoạt động của cửa sổ nền liên quan đến Qianniu - Công cụ dành cho người bán của Alibaba, ghi lại các lần nhấn phím, gửi tín hiệu nhịp tim đến máy chủ bên ngoài và xử lý các lệnh do máy chủ đưa ra.

Các lệnh cho phép thu thập thông tin chi tiết về máy chủ nạn nhân, chạy các tệp DLL, EPK hoặc EXE, tải shellcode, đọc/ghi/xóa tệp, tải xuống và đưa tệp EXE vào svchost.exe bằng Early Bird Injection, liệt kê người dùng, chụp ảnh màn hình, tạo điều kiện đăng nhập RDP và thậm chí tạo và thêm người dùng ẩn vào nhóm quản trị viên.

"Những chiến thuật này làm tăng đáng kể độ khó của việc phát hiện, ngăn chặn và phân tích", Fortinet cho biết. "Ngoài việc cập nhật giải pháp, việc giáo dục người dùng về mối nguy hiểm của kỹ thuật xã hội vẫn là điều cần thiết."

Những phát hiện này trùng hợp với sự xuất hiện của một chiến dịch khác sử dụng " các kỹ thuật tương tự ClickFix " để phân phối một công cụ đánh cắp thông tin hàng hóa có tên là MetaStealer cho những người dùng đang tìm kiếm các công cụ như AnyDesk.

Chuỗi tấn công bao gồm việc tạo một trang Cloudflare Turnstile giả mạo trước khi tải xuống trình cài đặt AnyDesk giả mạo và yêu cầu người dùng nhấp vào hộp kiểm để hoàn tất bước xác minh. Tuy nhiên, hành động này lại kích hoạt một thông báo bật lên yêu cầu họ mở Windows File Explorer.


Khi Windows File Explorer được mở, mã PHP ẩn trong trang xác minh Turnstile được cấu hình để sử dụng trình xử lý giao thức URI " search-ms: " nhằm hiển thị tệp lối tắt Windows (LNK) được ngụy trang thành tệp PDF được lưu trữ trên trang web của kẻ tấn công.

Về phần mình, tệp LNK kích hoạt một loạt các bước để thu thập tên máy chủ và chạy gói MSI có nhiệm vụ cuối cùng là loại bỏ MetaStealer.

"Những kiểu tấn công này, vốn đòi hỏi nạn nhân phải tương tác thủ công ở một mức độ nào đó, khi chúng tự 'sửa' quy trình bị lỗi, lại hiệu quả một phần vì chúng có khả năng vượt qua các giải pháp bảo mật", Huntress nói. "Các tác nhân đe dọa đang tiếp tục gây ảnh hưởng đến chuỗi lây nhiễm, gây trở ngại cho việc phát hiện và phòng ngừa."

Tiết lộ này cũng xuất hiện khi CloudSEK trình bày chi tiết về một phương pháp chuyển thể mới của chiến thuật kỹ thuật xã hội ClickFix, sử dụng các lời nhắc vô hình bằng phương pháp làm tối nghĩa dựa trên CSS để biến các hệ thống AI thành vũ khí và tạo ra các bản tóm tắt bao gồm các hướng dẫn ClickFix do kẻ tấn công kiểm soát.

Cuộc tấn công bằng chứng khái niệm (PoC) được thực hiện bằng cách sử dụng một chiến lược gọi là quá liều nhanh chóng, trong đó tải trọng được nhúng sâu vào nội dung HTML để nó chiếm ưu thế trong cửa sổ ngữ cảnh của mô hình ngôn ngữ lớn nhằm điều khiển đầu ra của mô hình đó.

"Phương pháp này nhắm vào các trình tóm tắt được nhúng trong các ứng dụng như máy khách email, tiện ích mở rộng trình duyệt và nền tảng năng suất", công ty cho biết. "Bằng cách lợi dụng lòng tin của người dùng vào các bản tóm tắt do AI tạo ra, phương pháp này sẽ bí mật cung cấp các hướng dẫn từng bước độc hại, có thể tạo điều kiện cho việc triển khai ransomware."

"Prompt dose là một kỹ thuật thao túng làm quá tải cửa sổ ngữ cảnh của mô hình AI bằng nội dung lặp lại, mật độ cao để kiểm soát đầu ra của nó. Bằng cách làm bão hòa đầu vào bằng văn bản do kẻ tấn công chọn, ngữ cảnh hợp lệ sẽ bị gạt sang một bên, và sự chú ý của mô hình sẽ liên tục bị kéo trở lại vào nội dung đã được đưa vào."