Mã độc Agent Tesla Nguy hiểm: Lây nhiễm qua phim giả, khai thác PowerShell

Trong một diễn biến mới của các chiến dịch tấn công mạng, những kẻ tấn công đang khai thác sự phổ biến của các bộ phim mới để phát tán mã độc Agent Tesla nguy hiểm. Chiến thuật này nhắm vào những người dùng tìm kiếm và tải xuống phim trực tuyến, đặc biệt là thông qua các tệp torrent giả mạo.

Một chiến dịch gần đây đã sử dụng tên bộ phim “One Battle After Another” (được cho là có sự tham gia của Leonardo DiCaprio) để lừa đảo hàng nghìn người dùng. Mục tiêu chính là cài đặt một Remote Access Trojan (RAT) trên máy tính chạy hệ điều hành Windows, cho phép kẻ tấn công kiểm soát hoàn diện thiết bị của nạn nhân.

Tổng quan về Chiến dịch Phát tán Mã độc Agent Tesla

Chiến dịch phát tán mã độc Agent Tesla này được thiết kế tinh vi, bắt đầu từ một tệp tải xuống tưởng chừng vô hại. Khi người dùng tải về cái gọi là “bộ phim”, họ nhận được một thư mục chứa nhiều tệp có vẻ bình thường, bao gồm các tệp video, phụ đề và hình ảnh.

Tuy nhiên, bên trong các tệp này là một chuỗi kịch bản PowerShell ẩn và các kỹ thuật thực thi trong bộ nhớ, cho phép cài đặt mã độc Agent Tesla mà không bị phát hiện bởi các công cụ bảo mật truyền thống.

Kỹ thuật Lây nhiễm và Chuỗi Tấn công

Khởi phát qua Tệp LNK Giả mạo

Quá trình lây nhiễm bắt đầu khi người dùng nhấp vào một tệp phím tắt (shortcut) có tên CD.lnk. Tệp này được ngụy trang như một công cụ phát phim, nhưng thực chất nó kích hoạt một chuỗi lệnh phức tạp chạy ngầm trên hệ thống.

Tệp CD.lnk không chỉ đơn thuần mở một chương trình, mà còn thực thi một lệnh ẩn để đọc và xử lý các dòng cụ thể từ một tệp phụ đề.

Mã độc ẩn trong Tệp Phụ đề (Subtitle)

Điểm độc đáo của chiến dịch này là việc nhúng mã độc vào tệp phụ đề hợp pháp có tên Part2.subtitles.srt. Tệp này chứa nội dung phụ đề thực sự của phim, nhưng các dòng từ 100 đến 103 lại ẩn chứa đoạn mã batch độc hại.

Đoạn mã batch này sau đó khởi chạy các PowerShell scripts, bắt đầu chuỗi tấn công đa tầng. Đây là một phương pháp tinh vi để tránh bị quét bởi các phần mềm bảo mật dựa trên chữ ký.

REM Ví dụ khái niệm về lệnh ẩn trong tệp phụ đềREM Đây không phải mã độc thực tế, chỉ minh họa kỹ thuật10000:01:25,320 --> 00:01:26,960Oh, that’s so nice. CMD.exe /c start /b powershell.exe -ExecutionPolicy Bypass -File "C:\temp\hidden.ps1"10100:01:27,240 --> 00:01:28,400Thank you very much.10200:01:28,400 --> 00:01:30,120We need to run more. PowerShell.exe -Command "[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('JABwYXl…')) | IEX"10300:01:30,120 --> 00:01:32,040Yeah, absolutely. Exit

Triển khai Kịch bản PowerShell Đa tầng

Các lệnh PowerShell được khởi chạy sẽ trích xuất và giải mã dữ liệu được mã hóa từ chính tệp phụ đề. Kẻ tấn công sử dụng kỹ thuật mã hóa AES để tạo ra năm kịch bản PowerShell riêng biệt.

Các kịch bản này được lưu trữ trong một thư mục ẩn tại C:\Users\<username>\AppData\Local\Microsoft\Diagnostics. Mỗi kịch bản có một vai trò cụ thể trong chuỗi tấn công phức tạp này.

Kịch bản đầu tiên chịu trách nhiệm trích xuất nội dung từ một tệp video giả mạo có tên One Battle After Another.m2ts. Tệp này thực chất là một kho lưu trữ được ngụy trang, chứa các thành phần tiếp theo của mã độc Agent Tesla.

Kịch bản này kiểm tra sự hiện diện của các công cụ giải nén phổ biến như WinRAR, 7-Zip hoặc Bandizip và sử dụng công cụ có sẵn để tiếp tục quá trình.

Duy trì Quyền truy cập qua Task Scheduler

Một kịch bản PowerShell khác tạo ra một tác vụ theo lịch trình (scheduled task) có tên RealtekDiagnostics. Tác vụ này giả mạo một chương trình hỗ trợ âm thanh hợp pháp, giúp mã độc Agent Tesla duy trì quyền truy cập dai dẳng trên hệ thống.

Bằng cách này, mã độc sẽ tự động chạy mỗi khi máy tính khởi động hoặc khi người dùng đăng nhập, mà không gây ra bất kỳ sự nghi ngờ nào.

Giải mã Dữ liệu từ Tệp Hình ảnh

Các kịch bản còn lại giải mã dữ liệu ẩn từ các tệp hình ảnh giả mạo như Photo.jpg và Cover.jpg. Những tệp này không chứa hình ảnh thông thường, mà là dữ liệu nhị phân và các kho lưu trữ bổ sung được bảo vệ bằng mật khẩu đơn giản.

Kỹ thuật này giúp phân tán các thành phần mã độc và làm phức tạp quá trình phân tích cũng như phát hiện của các công cụ bảo mật.

Tải trọng Agent Tesla và Kiểm soát Hệ thống

Giai đoạn cuối cùng là biên dịch và thực thi tải trọng chính của mã độc Agent Tesla trực tiếp trong bộ nhớ. Agent Tesla là một Remote Access Trojan (RAT) nổi tiếng, có khả năng thực hiện nhiều hành vi độc hại.

Sau khi được kích hoạt, Agent Tesla thiết lập kết nối với máy chủ điều khiển (C2) của kẻ tấn công. Điều này biến máy tính bị nhiễm thành một thiết bị zombie, có thể bị lợi dụng để đánh cắp thông tin đăng nhập, thực hiện các cuộc tấn công tiếp theo, hoặc triển khai các loại mã độc bổ sung.

Sự tinh vi của việc thực thi trong bộ nhớ (fileless execution) khiến việc phát hiện và phân tích mã độc trở nên cực kỳ khó khăn, giúp kẻ tấn công duy trì quyền truy cập lâu dài vào hệ thống của nạn nhân.

Để biết thêm chi tiết về phân tích kỹ thuật của chiến dịch này, bạn có thể tham khảo bài viết của Bitdefender tại Bitdefender Labs.

Các Kỹ thuật Tránh Phát hiện (Evasion Techniques)

Chiến dịch này minh họa rõ ràng cách kẻ tấn công sử dụng các kỹ thuật tiên tiến để vượt qua các biện pháp bảo mật hiện có. Các kỹ thuật chính bao gồm:

• Sử dụng các công cụ hợp pháp của Windows: Mã độc tận dụng CMD, PowerShell và Task Scheduler để thực hiện các hành vi độc hại, hòa lẫn vào các tiến trình hệ thống bình thường.
• Thực thi trong bộ nhớ (Fileless Execution): Toàn bộ quá trình lây nhiễm chạy trực tiếp trong bộ nhớ, không ghi các tệp đáng ngờ vào ổ cứng. Điều này làm cho các công cụ bảo mật truyền thống gặp khó khăn trong việc phát hiện.
• Mã hóa và Đa tầng: Dữ liệu được mã hóa và phân tán qua nhiều tệp, đòi hỏi nhiều bước giải mã và thực thi kịch bản khác nhau.
• Ngụy trang: Giả mạo các tệp tin phổ biến như video, phụ đề, hình ảnh để che giấu mã độc.

Chỉ số Lây nhiễm (Indicators of Compromise – IOCs)

Để hỗ trợ các nhà phân tích và quản trị hệ thống trong việc phát hiện và ứng phó, dưới đây là các chỉ số lây nhiễm chính liên quan đến chiến dịch phát tán mã độc Agent Tesla:

• Tên tệp khởi phát: CD.lnk
• Tên tệp phụ đề bị lạm dụng: Part2.subtitles.srt
• Thư mục chứa kịch bản PowerShell: C:\Users\<username>\AppData\Local\Microsoft\Diagnostics
• Tên tệp video giả mạo: One Battle After Another.m2ts
• Tên tệp hình ảnh giả mạo: Photo.jpg, Cover.jpg
• Tên tác vụ theo lịch trình (Scheduled Task): RealtekDiagnostics

Khuyến nghị Bảo mật

Để giảm thiểu rủi ro từ các cuộc tấn công tương tự mã độc Agent Tesla, người dùng và tổ chức nên thực hiện các biện pháp bảo mật sau:

• Cẩn trọng khi tải xuống tệp từ nguồn không đáng tin cậy: Luôn kiểm tra kỹ nguồn gốc của các tệp trước khi tải xuống và mở, đặc biệt là các tệp torrent hoặc nội dung miễn phí hấp dẫn.
• Sử dụng phần mềm bảo mật toàn diện: Đảm bảo rằng phần mềm chống vi-rút và EDR (Endpoint Detection and Response) luôn được cập nhật và cấu hình để phát hiện các mối đe dọa tiên tiến, bao gồm cả kỹ thuật fileless execution.
• Kích hoạt hiển thị phần mở rộng tệp: Cấu hình hệ điều hành để luôn hiển thị phần mở rộng tệp đầy đủ (ví dụ: .mp4.lnk thay vì chỉ .mp4) có thể giúp phát hiện các tệp giả mạo.
• Cập nhật hệ điều hành và ứng dụng: Đảm bảo tất cả phần mềm và hệ điều hành được vá lỗi bảo mật mới nhất để khắc phục các lỗ hổng có thể bị khai thác.
• Giáo dục người dùng: Nâng cao nhận thức về các mối đe dọa lừa đảo (phishing) và kỹ thuật ngụy trang tệp tin là rất quan trọng để ngăn chặn các cuộc tấn công khởi phát từ hành vi của người dùng.