28.4 C
Ho Chi Minh City

Phân Tích Chi Tiết Chiến Dịch Malware Lợi Dụng CAPTCHA Giả

Phân tích chuyên sâu

Published:

Reading time: 4 min.

Bài viết từ GBHackers phân tích chi tiết một chiến dịch malware gần đây lợi dụng các thông báo CAPTCHA giả để lừa người dùng Windows thực thi các lệnh PowerShell, khởi động một chuỗi tấn công đa giai đoạn.

Những điểm chính của cuộc tấn công

  1. Các thông báo CAPTCHA lừa đảo:
    • Chiến dịch này sử dụng các thông báo CAPTCHA giả trên các trang web bị xâm phạm để lừa người dùng thực thi các lệnh PowerShell. Thay vì xác minh danh tính của người dùng, CAPTCHA yêu cầu thực thi một script PowerShell.
  2. Chuỗi tấn công đa giai đoạn:
    • Thực thi ban đầu: Script PowerShell được thực thi, dẫn đến việc kích hoạt các payload độc hại bổ sung.
    • Thực thi payload: Script tải và giải mã các script khác, dẫn đến việc triển khai malware lấy thông tin như Lumma và Vidar.
    • Kỹ thuật làm mờ: Các payload được thiết kế để vượt qua phát hiện thông qua các kỹ thuật làm mờ, bao gồm kích thước tệp lớn để tránh phân tích sandbox và nhiều lớp giải mã Base64 và XOR.
  3. Phân tích kỹ thuật:
    • Cuộc tấn công sử dụng thực thi PowerShell nhiều lớp để tránh phát hiện. Lệnh PowerShell đã giải mã chứa một payload mã hóa Base64, khi được giải mã sẽ tiết lộ một script khác chịu trách nhiệm thực thi các lệnh bổ sung hoặc tải các payload khác.
    • Script sử dụng lớp .NET Marshal để giải mã dữ liệu SecureString, cho phép thực hiện các thao tác nhạy cảm mà không bị phát hiện. Nó sau đó vượt qua các chính sách thực thi và lấy một URL độc hại bằng cách sử dụng Net.WebClient, tải xuống và chạy payload trong khi làm mờ tên lệnh để né tránh các công cụ bảo mật.
  4. Payload cuối cùng và chiến thuật lẩn tránh phát hiện:
    • Giai đoạn cuối cùng của cuộc tấn công cung cấp Lumma Stealer và Vidar Stealer, các phần mềm khai thác dữ liệu nhạy cảm từ các hệ thống bị nhiễm.
    • Thêm vào đó, chiến dịch triển khai một backdoor dựa trên Golang gọi là HijackLoader thông qua một gói phần mềm độc hại được ngụy trang dưới dạng “TiVo Desktop.”
    • Các kẻ tấn công sử dụng các chiến thuật lẩn tránh phát hiện tiên tiến như vô hiệu hóa ghi nhật ký sự kiện, đổi tên các tiện ích hệ thống và ẩn cửa sổ thực thi.
  5. Chỉ số thỏa hiệp (IOC):
    • Bài viết liệt kê một số URL và miền liên quan đến chiến dịch, bao gồm hxxps://www.suarakutim.com/temp/hosebird.rpmhxxps://steamcommunity.com/profiles/76561199724331900, và hxxps://steamcommunity.com/profiles/76561199820567237.

Khuyến nghị về phòng thủ

  • Thận trọng của người dùng: Người dùng nên cẩn trọng khi gặp các quy trình xác minh CAPTCHA bất thường yêu cầu các hành động ở cấp độ hệ thống.
  • Các biện pháp bảo mật mạnh mẽ: Các tổ chức nên triển khai các biện pháp bảo mật mạnh mẽ để phát hiện và giảm thiểu các cuộc tấn công tinh vi như vậy, bao gồm duy trì phần mềm bảo mật cập nhật và thực hành các thói quen số tốt.

Chiến dịch này nhấn mạnh các chiến thuật đang phát triển của các tác nhân đe dọa trong việc sử dụng kỹ thuật kỹ thuật xã hội để khai thác các hành vi người dùng phổ biến, nhấn mạnh nhu cầu về sự cảnh giác liên tục và các biện pháp bảo mật mạnh mẽ.

Bài viết liên quan

spot_img

Bài viết gần đây

spot_img

©2024 Blog An Toàn Thông Tin - Trang tin nội bộ APPCONNECT