Nguy hiểm mã độc BlankGrabber: Giấu mình bằng chứng chỉ giả

Một biến thể mới của mã độc BlankGrabber, một loại thông tin đánh cắp dữ liệu viết bằng Python, đã được phát hiện sử dụng kỹ thuật loader chứng chỉ giả mạo để che giấu chuỗi lây nhiễm đa giai đoạn phức tạp. Lần đầu tiên được nhận diện vào năm 2023, mã độc BlankGrabber này ngày càng tinh vi hơn, liên tục nhắm mục tiêu vào người dùng thông thường thông qua các nền tảng trực tuyến phổ biến.

Nội dung

BlankGrabber: Mô Hình Tấn Công Đa Giai Đoạn và Kỹ Thuật Lây Nhiễm

Kỹ Thuật Loader Giả Mạo Chứng Chỉ

Phương Thức Lây Nhiễm và Phổ Biến

Tác Động và Hậu Quả từ mối đe dọa mạng BlankGrabber

Chi Tiết Chuỗi Lây Nhiễm Mã Độc BlankGrabber

Giai Đoạn Khởi Đầu: Loader và Kiểm Tra Sandbox

Triển Khai Payload Chính

Kỹ Thuật Che Giấu và Duy Trì Quyền Truy Cập

Các Chỉ Số Thỏa Hiệp (IOCs) của mã độc BlankGrabber

Biện Pháp Phòng Ngừa và Phát Hiện để Tăng Cường bảo mật thông tin

BlankGrabber: Mô Hình Tấn Công Đa Giai Đoạn và Kỹ Thuật Lây Nhiễm

Mã độc BlankGrabber được thiết kế để đánh cắp càng nhiều dữ liệu nhạy cảm càng tốt trước khi bị phát hiện. Nó nhắm vào các thông tin đăng nhập trình duyệt, token phiên, mật khẩu đã lưu, nội dung clipboard, mật khẩu Wi-Fi, dữ liệu ví tiền điện tử, ảnh chụp màn hình và ảnh chụp webcam.

Thiết kế theo module cho phép kẻ tấn công tùy chỉnh các cuộc tấn công. Chu kỳ phát triển nhanh chóng của nó đã giúp mã độc BlankGrabber vượt qua nhiều công cụ bảo mật truyền thống.

Kỹ Thuật Loader Giả Mạo Chứng Chỉ

Các nhà phân tích của Splunk đã xác định một mẫu loader của BlankGrabber được lưu trữ trên nền tảng chia sẻ tệp Gofile[.]io. Việc kiểm tra kỹ lưỡng đã tiết lộ rằng một tập lệnh cài đặt chứng chỉ dường như bình thường lại là một cơ chế lây nhiễm đa lớp được ngụy trang.

Loader này đã lạm dụng certutil.exe, một tiện ích Windows tích hợp hợp pháp, để giải mã thứ dường như là dữ liệu chứng chỉ. Trên thực tế, nội dung được mã hóa này chứa một stager đã được biên dịch dựa trên Rust. Stager này được xây dựng để giải mã và khởi chạy payload độc hại cuối cùng.

Để biết thêm chi tiết về phân tích BlankGrabber, bạn có thể tham khảo bài viết từ Splunk: BlankGrabber Trojan Stealer Analysis and Detection.

Phương Thức Lây Nhiễm và Phổ Biến

Mã độc này lây lan chủ yếu thông qua kỹ thuật xã hội (social engineering) và lừa đảo (phishing). Kẻ tấn công phát tán nó qua các bản tải xuống phần mềm “crack” giả mạo, các tệp lưu trữ độc hại được chia sẻ trên Discord và các kho lưu trữ GitHub giả mạo các tiện ích thực tế.

Khi người dùng chạy tệp, chuỗi lây nhiễm bắt đầu âm thầm trong nền, hoạt động qua nhiều lớp che giấu để tránh bị các công cụ an ninh mạng phát hiện.

Tác Động và Hậu Quả từ mối đe dọa mạng BlankGrabber

Thiệt hại từ một cuộc lây nhiễm mã độc BlankGrabber thành công có thể rất đáng kể. Nạn nhân có nguy cơ mất quyền truy cập vào tài khoản trình duyệt, nền tảng tài chính và các tệp cá nhân. Mã độc này còn triển khai XWorm cùng với nó, cung cấp cho kẻ tấn công cả khả năng đánh cắp dữ liệu và quyền kiểm soát từ xa liên tục đối với máy bị xâm nhập.

XWorm là một công cụ truy cập từ xa (RAT) nguy hiểm. Tìm hiểu thêm về XWorm tại: XWorm Delivered via Windows Script File.

Chi Tiết Chuỗi Lây Nhiễm Mã Độc BlankGrabber

Giai Đoạn Khởi Đầu: Loader và Kiểm Tra Sandbox

Quá trình lây nhiễm bắt đầu bằng một tệp batch loader sử dụng certutil.exe để giải mã dữ liệu dường như là chứng chỉ. Nội dung được mã hóa đó thực chất là một stager Rust đã được biên dịch.

Sau khi thực thi, stager sẽ chạy một loạt kiểm tra môi trường. Nó so sánh các driver, tên người dùng và tên máy tính của hệ thống với một danh sách cứng các định danh sandbox như “Triage,” “Zenbox,” và “Sandbox.” Nếu phát hiện bất kỳ dấu hiệu sandbox nào, mã độc sẽ thoát để tránh bị phân tích.

Triển Khai Payload Chính

Khi stager xác nhận hệ thống là một môi trường thực, nó sẽ thả một tệp lưu trữ RAR tự giải nén vào thư mục %TEMP%.

Tệp lưu trữ này chứa hai tệp độc hại: ứng dụng khách truy cập từ xa XWorm (host.exe) và trình đánh cắp dữ liệu BlankGrabber (Knock.exe).

Để ngụy trang, tệp được thả sẽ có một tên ngẫu nhiên giống với một tiến trình Windows hợp pháp, ví dụ như OneDriveUpdateHelper.exe hoặc SteamService.exe.

Kỹ Thuật Che Giấu và Duy Trì Quyền Truy Cập

Payload của BlankGrabber được đóng gói bằng PyInstaller, chuyển đổi tập lệnh Python gốc thành một tệp thực thi độc lập. Bên trong gói là một tệp được mã hóa có tên “blank.aes,” lưu trữ payload thực sự.

Một thuật toán AES-GCM tùy chỉnh với khóa và vectơ khởi tạo được mã hóa cứng sẽ giải mã tệp này trong thời gian chạy. Sau khi được giải mã, một tập lệnh giai đoạn hai có tên “stub-o.pyc“ sẽ xuất hiện, sử dụng mã hóa Base64, ROT13 và đảo ngược chuỗi làm các lớp che giấu bổ sung.

Mã độc BlankGrabber cũng vô hiệu hóa tính năng bảo vệ thời gian thực của Windows Defender và xóa các chữ ký chống virus thông qua PowerShell.

Ví dụ lệnh PowerShell để vô hiệu hóa Defender có thể tương tự như:

Set-MpPreference -DisableRealtimeMonitoring $trueSet-MpPreference -DisableBehaviorMonitoring $trueSet-MpPreference -DisableIOAVProtection $trueSet-MpPreference -DisablePrivacyMode $trueSet-MpPreference -MAPSReporting DisabledSet-MpPreference -SubmitSamplesConsent NeverSend

Nó sửa đổi tệp Windows hosts để cắt quyền truy cập vào các trang web bảo mật bằng cách chuyển hướng chúng đến 0.0.0.0. Để duy trì quyền truy cập, nó đặt một bản sao payload của mình vào thư mục khởi động, để nó chạy lại sau mỗi lần khởi động lại hệ thống. Kỹ thuật này góp phần vào nguy cơ rò rỉ dữ liệu.

Các Chỉ Số Thỏa Hiệp (IOCs) của mã độc BlankGrabber

Các chỉ số thỏa hiệp sau đây có thể giúp phát hiện và ngăn chặn mã độc BlankGrabber:

Tên tệp độc hại:
- host.exe (XWorm RAT)
- Knock.exe (BlankGrabber Stealer)
- Các tệp có tên ngẫu nhiên giống tiến trình Windows hợp pháp (ví dụ: OneDriveUpdateHelper.exe, SteamService.exe) được thả vào thư mục %TEMP%.
Tên tệp nội bộ:
- blank.aes (payload mã hóa)
- stub-o.pyc (tập lệnh giai đoạn hai)
Công cụ hệ thống bị lạm dụng:
- certutil.exe để giải mã dữ liệu không phải chứng chỉ.
- PowerShell để vô hiệu hóa Windows Defender và xóa chữ ký.
Tên sandbox bị kiểm tra:
- Triage
- Zenbox
- Sandbox
Thay đổi hệ thống:
- Sửa đổi tệp hosts để chuyển hướng các trang web bảo mật đến 0.0.0.0.
- Tạo mục nhập duy trì trong thư mục Startup.
Nền tảng phân phối:
- Gofile[.]io
- Các kho lưu trữ GitHub giả mạo.
- Các kênh Discord.
DNS queries bất thường:
- Truy vấn đến API của Telegram.
- Truy vấn đến các dịch vụ chia sẻ tệp không được phê duyệt.

Biện Pháp Phòng Ngừa và Phát Hiện để Tăng Cường bảo mật thông tin

Các nhóm an ninh mạng nên theo dõi việc sử dụng certutil.exe để giải mã dữ liệu không phải chứng chỉ. Đồng thời, cần cảnh giác với việc WinRAR chạy bên ngoài thư mục cài đặt mặc định, các lệnh PowerShell vô hiệu hóa Windows Defender, và các truy vấn DNS bất thường đến API của Telegram hoặc các dịch vụ chia sẻ tệp đã biết.

Để tăng cường bảo mật thông tin, các tổ chức nên duy trì hệ thống được vá lỗi hoàn chỉnh. Chặn quyền truy cập vào các trang web chia sẻ tệp không được phê duyệt là rất quan trọng. Ví dụ về lỗ hổng liên quan đến chia sẻ tệp có thể được tìm thấy tại: CISA Confirms Active Exploitation of FileZen Vulnerability.

Ngoài ra, việc thực thi nghiêm ngặt danh sách ứng dụng được phép (application allowlisting) sẽ giúp giảm thiểu mức độ phơi nhiễm với loại mã độc BlankGrabber này. Các biện pháp này sẽ củng cố an ninh mạng tổng thể và bảo vệ hệ thống khỏi các mối đe dọa dai dẳng.