Mã Độc Nguy Hiểm Lây Nhiễm Qua Ứng Dụng Chuyển Đổi Giả Mạo
Mã Độc Tấn Công Thông Qua Ứng Dụng Chuyển Đổi Tập Tin Giả Mạo
Các ứng dụng chuyển đổi tập tin độc hại, được phân phối qua quảng cáo lừa đảo, đang lây nhiễm hàng ngàn hệ thống bằng các trojan truy cập từ xa (RATs) dai dẳng. Những công cụ năng suất tưởng chừng hợp pháp này thực hiện chức năng quảng cáo của chúng, đồng thời bí mật cài đặt backdoor, cung cấp quyền truy cập liên tục cho kẻ tấn công vào máy tính nạn nhân. Đây là một ví dụ điển hình về chiến dịch lây nhiễm mã độc tinh vi.
Chuỗi Tấn Công Mạng và Lây Nhiễm
Nextron Systems đã phát hiện rằng chuỗi lây nhiễm thường bắt đầu bằng các quảng cáo Google độc hại được đặt trên các trang web hợp pháp, bao gồm trang tải xuống trò chơi điện tử, trang web nội dung người lớn và trang web công cụ năng suất.
Khi người dùng tìm kiếm các công cụ chuyển đổi tập tin như “Word sang PDF” hoặc công cụ chuyển đổi hình ảnh, những quảng cáo này xuất hiện ở đầu kết quả tìm kiếm, khiến chúng trông đáng tin cậy.
Nhấp vào quảng cáo sẽ chuyển hướng nạn nhân qua nhiều tên miền trước khi đến các trang web chuyển đổi giả mạo, nơi phân phối phần mềm bị nhiễm trojan.
Các trang web phân phối payload độc hại chia sẻ các đặc điểm riêng biệt giúp chúng dễ nhận biết khi đã được xác định. Các tên miền như ez2convertapp[.]com, convertyfileapp[.]com, powerdocapp[.]com và pdfskillsapp[.]com đều hiển thị các nút tải xuống nổi bật và cấu trúc trang tương tự, bao gồm các câu hỏi thường gặp (FAQs), mô tả tính năng và chính sách quyền riêng tư.
Nhiều tên miền trong số này không trực tiếp lưu trữ các tệp dropper mà thay vào đó chuyển hướng người dùng đến các tên miền bổ sung, cung cấp các tệp tải xuống độc hại thực sự.
Kỹ Thuật Né Tránh và Duy Trì Quyền Truy Cập
Ký Mã Số (Code Signing) Để Né Tránh Phát Hiện
Để né tránh phát hiện và xuất hiện đáng tin cậy, kẻ tấn công ký mã độc của chúng bằng các chứng chỉ ký mã từ các nhà phát hành như BLUE TAKIN LTD, TAU CENTAURI LTD và SPARROW TIDE LTD.
Mặc dù nhiều chứng chỉ đã bị thu hồi sau khi phát hiện, nhưng các chiến dịch mới liên tục xuất hiện với các chứng chỉ mới, hợp lệ, bỏ qua các kiểm tra bảo mật cơ bản. Điều này cho phép mã độc xuất hiện dưới dạng phần mềm hợp pháp đối với cả người dùng cuối và các công cụ bảo mật thực hiện xác minh chữ ký.
Cơ Chế Duy Trì Quyền Truy Cập Bằng Scheduled Tasks
Sau khi tải xuống, các ứng dụng chuyển đổi được viết bằng C# sẽ thả các payload bổ sung vào thư mục %LocalAppData% và tạo các tác vụ theo lịch trình (scheduled tasks) thực thi các tệp nhị phân “updater” cứ sau 24 giờ.
Các tác vụ theo lịch trình này thường bắt đầu một ngày sau khi lây nhiễm ban đầu. Độ lệch “+1 ngày” này đóng vai trò là một chỉ báo pháp y hữu ích để xác định thời điểm truy cập ban đầu.
Một UUID cụ thể cho từng hệ thống, được lưu trữ trong tệp id.txt, xác định mỗi nạn nhân trong quá trình giao tiếp lệnh và điều khiển (C2).
Khả Năng Của RAT và Giao Tiếp C2
Payload giai đoạn cuối hoạt động như một công cụ thực thi chung, liên hệ với các máy chủ C2 do kẻ tấn công kiểm soát để truy xuất và thực thi các assembly .NET độc hại. Các RATs này cung cấp cho kẻ tấn công các khả năng bao gồm:
- Đánh cắp dữ liệu
- Keylogging (ghi lại thao tác bàn phím)
- Chụp màn hình
- Truy cập hệ thống tệp tin
- Khả năng tải xuống thêm mã độc khác
Thành phần UpdateRetriever.exe xác thực với máy chủ C2, nhận mã thực thi và chạy nó một cách âm thầm trên hệ thống nạn nhân, đồng thời gửi kết quả trở lại cho kẻ tấn công.
Chỉ Số Thỏa Hiệp (IOCs)
Các tên miền được xác định liên quan đến chiến dịch phát tán mã độc này bao gồm:
ez2convertapp[.]comconvertyfileapp[.]compowerdocapp[.]compdfskillsapp[.]com
Chiến Lược Phát Hiện và Phòng Ngừa Xâm Nhập
Các tổ chức có thể phát hiện các lây nhiễm mã độc này bằng cách giám sát Windows Event ID 4698 (tác vụ theo lịch trình được tạo) trong nhật ký Security.evtx, yêu cầu bật kiểm toán truy cập đối tượng.
(Get-WinEvent -FilterHashTable @{LogName='Security'; ID=4698}).Message | Select-String -Pattern 'TaskName: .*updater.*'Các tác vụ theo lịch trình đáng ngờ thực thi từ các thư mục %LocalAppData% đóng vai trò là các điểm neo phát hiện tuyệt vời, đặc biệt khi kết hợp với giám sát đăng ký Sysmon Event ID 13 và các sự kiện hoạt động của Task Scheduler. Điều này giúp phát hiện xâm nhập mạng sớm và hiệu quả.
Các biện pháp phòng thủ bổ sung bao gồm triển khai các chính sách kiểm soát ứng dụng, chẳng hạn như AppLocker, để chặn thực thi từ các vị trí có thể ghi của người dùng. Đồng thời, tạo các quy tắc từ chối cho các chứng chỉ ký mã độc hại đã xác định.
Để biết thêm chi tiết về cách kẻ tấn công sử dụng các tác vụ theo lịch trình để duy trì quyền truy cập dai dẳng, bạn có thể tham khảo kỹ thuật T1053.005 Scheduled Task/Job của MITRE ATT&CK.
