OCRFix Botnet: Nguy Hiểm Tối Tân Từ Blockchain & AI Poisoning
Một chiến dịch botnet trojan mới, được đặt tên là OCRFix botnet, đã được phát hiện khi kết hợp các thủ thuật lừa đảo xã hội với hạ tầng lệnh và kiểm soát (C2) dựa trên blockchain. Mục tiêu của chiến dịch là xây dựng một mạng lưới các máy tính bị xâm nhập một cách lặng lẽ.
Chiến dịch này kết hợp kỹ thuật lừa đảo ClickFix đã biết rộng rãi với EtherHiding – một phương pháp lưu trữ hướng dẫn của kẻ tấn công trực tiếp trên một blockchain công khai, khiến việc gỡ bỏ trở nên gần như bất khả thi.
Phân tích kỹ thuật chiến dịch OCRFix Botnet
OCRFix botnet khởi đầu bằng một trang web typosquatting mạo danh tesseract-ocr[.]com, một bản giả mạo rất thuyết phục của công cụ nhận dạng ký tự quang học (OCR) mã nguồn mở hợp pháp, Tesseract OCR. Do dự án Tesseract gốc được lưu trữ trên GitHub và không có trang web riêng, điều này đã trở thành mục tiêu dễ dàng để mạo danh tên miền. Tham khảo dự án Tesseract OCR gốc tại GitHub Tesseract OCR.
Bên cạnh việc sử dụng kỹ thuật SEO poisoning truyền thống, chiến dịch này còn triển khai LLM poisoning. Cụ thể, chatbot ChatGPT đã được quan sát thấy tích cực đề xuất trang web độc hại này cho những người dùng không cảnh giác. Một video YouTube được tìm thấy trong quá trình điều tra cũng dường như thúc đẩy các hướng dẫn gian lận này.
Vector lây nhiễm ban đầu
Các nhà phân tích đã xác định chiến dịch OCRFix botnet này trong quá trình theo dõi mối đe dọa thường xuyên. Trang web lừa đảo chào đón người dùng bằng một lời nhắc CAPTCHA giả mạo. Một khi người dùng nhấp vào để “xác minh”, một lệnh PowerShell bị xáo trộn mạnh mẽ (heavily obfuscated) sẽ được âm thầm sao chép vào clipboard của họ.
Trang web sau đó hướng dẫn người dùng mở Windows PowerShell và dán lệnh này, trình bày đây là một bước xác minh bình thường. Thực tế, lệnh này tự giải mã và kết nối với một máy chủ tại opsecdefcloud[.]com, tải xuống một tệp MSI độc hại (98166e51.msi) khởi đầu chuỗi lây nhiễm. Sau cuộc tấn công, nạn nhân được âm thầm chuyển hướng đến trang GitHub Tesseract thật, khiến mọi thứ dường như bình thường.
Chuỗi triển khai mã độc nhiều giai đoạn
Một khi tệp MSI được thực thi, mã độc được triển khai qua ba giai đoạn:
- Giai đoạn 1: Tệp
Update1.exehoạt động như một loader. Nó truy vấn một smart contract trên BNB TestNet để lấy địa chỉ C2, sau đó tải xuống và giải nén một góidata.ziptừ các máy chủ do kẻ tấn công kiểm soát. - Giai đoạn 2: Tệp
setup_helper.exexử lý khả năng duy trì. Nó tạo một tác vụ theo lịch trình (scheduled task) để chạy payload cuối cùng mỗi phút với quyền ưu tiên cao nhất. Đồng thời, nó thêm các đường dẫn loại trừ để vượt qua Windows Defender. - Giai đoạn 3: Tệp
CfgHelper.exelà thành phần lắng nghe của bot (bot listener). Nó thu thập địa chỉ IP của nạn nhân, tên hệ điều hành, tên thiết bị và các định danh duy nhất, sau đó gửi dữ liệu này đến bảng điều khiển bot tạildture[.]com.
Các bình luận trong mã nguồn của bảng điều khiển cho thấy những người vận hành có thể có liên quan đến các ngôn ngữ Slav, tuy nhiên thông tin này vẫn chưa được xác nhận.
Cơ chế Command and Control: Kỹ thuật EtherHiding
Điểm khác biệt kỹ thuật rõ rệt nhất của OCRFix botnet là việc sử dụng EtherHiding để lưu trữ các địa chỉ C2. Thay vì trỏ mã độc đến một máy chủ truyền thống mà các nhóm bảo mật có thể chặn, những kẻ tấn công đã nhúng các URL C2 của chúng vào bên trong các smart contract trên BNB Smart Chain TestNet. Ba địa chỉ contract riêng biệt đã được xác định trong quá trình phân tích.
Khi mỗi giai đoạn của mã độc cần hướng dẫn tiếp theo, nó sẽ truy vấn node blockchain công khai bsc-testnet.publicnode[.]com để truy xuất URL được lưu trữ. Vì chính blockchain không thể bị gỡ bỏ, kẻ tấn công có thể cập nhật địa chỉ C2 bất cứ lúc nào bằng cách sửa đổi biến được lưu trữ của contract. Kỹ thuật này trước đây đã được liên kết với các nhóm đe dọa và sự xuất hiện của nó ở đây cho thấy sự chấp nhận rộng rãi hơn giữa các nhóm khác.
Sự kết hợp giữa tính hợp pháp giả mạo, chèn clipboard và chuỗi mã độc nhiều lớp làm cho OCRFix trở thành một ví dụ mạnh mẽ về cách các thủ thuật lừa đảo đơn giản có thể được sử dụng để hỗ trợ một cuộc xâm nhập khó phát hiện và kéo dài.
Các chỉ số thỏa hiệp (IOCs)
Dưới đây là các chỉ số thỏa hiệp liên quan đến chiến dịch OCRFix botnet:
- Tên miền giả mạo:
tesseract-ocr[.]com - Máy chủ tải xuống mã độc:
opsecdefcloud[.]com - Bảng điều khiển botnet C2:
ldture[.]com - Node blockchain công khai được truy vấn:
bsc-testnet.publicnode[.]com - Hash tệp MSI độc hại:
98166e51.msi(MD5, SHA1, SHA256 cần được lấy từ báo cáo chi tiết nếu có) - Tên tệp thực thi mã độc:
Update1.exesetup_helper.exeCfgHelper.exe
- Địa chỉ Smart Contract BNB TestNet: (Cần được lấy từ báo cáo chi tiết nếu có, ví dụ:
0x...,0x...,0x...)
Để biết thêm thông tin chi tiết về chiến dịch này, vui lòng tham khảo báo cáo của Cyjax tại Cyjax Blog – OCRFix Botnet Trojan.
Biện pháp phòng ngừa và phát hiện tấn công mạng
Để giảm thiểu rủi ro từ các cuộc tấn công mạng như OCRFix botnet, các tổ chức nên triển khai các biện pháp sau:
Kiểm soát và giám sát PowerShell
- Hạn chế thực thi PowerShell chỉ cho những người dùng có nhu cầu công việc cụ thể.
- Kích hoạt ghi nhật ký khối script (script block logging) để phát hiện các lệnh bị xáo trộn hoặc bất thường.
# Ví dụ kích hoạt Script Block Logging qua Group Policy# Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell# Bật "Turn on PowerShell Script Block Logging"# Bật "Turn on Module Logging" cho tất cả các mô-đunĐào tạo nhận thức bảo mật
- Đào tạo nhân viên về các lời nhắc CAPTCHA giả mạo kiểu ClickFix.
- Nhấn mạnh rằng không có trang web hợp pháp nào sẽ yêu cầu người dùng dán các lệnh PowerShell.
Bảo vệ điểm cuối và giám sát mạng
- Các công cụ bảo vệ điểm cuối (Endpoint Protection Platforms – EPP) và phát hiện & phản hồi điểm cuối (Endpoint Detection and Response – EDR) cần được cấu hình để gắn cờ các truy vấn WMI bất thường và việc tạo tác vụ theo lịch trình có đặc quyền cao một cách không mong muốn.
- Các nhóm mạng nên giám sát các kết nối ra bên ngoài đến các node blockchain công khai, vì chúng thường không có mục đích kinh doanh hợp pháp trong hầu hết các môi trường doanh nghiệp.
