Tấn công mạng: Nguy hiểm từ Captcha giả mạo tinh vi

Một làn sóng mới của các chiến dịch mã độc dựa trên web đang sử dụng các trang xác minh giả mạo để lừa người dùng cài đặt phần mềm nguy hiểm. Các cuộc tấn công mạng này sao chép giao diện và cảm giác của các kiểm tra bảo mật hợp pháp mà người dùng thường thấy khi duyệt internet.

Hệ sinh thái captcha giả mạo đại diện cho một mối đe dọa mạng đang thay đổi nhanh chóng. Nó lợi dụng các giao diện web đáng tin cậy làm bề mặt phân phối cho các payload độc hại.

Sự trỗi dậy của các trang Captcha giả mạo

Trong vài năm qua, các trang captcha giả mạo đã trở thành một phương pháp phổ biến để phát tán mã độc. Những trang này trông giống như các thử thách xác minh trình duyệt thông thường, tương tự như các kiểm tra bảo mật được sử dụng bởi các nền tảng như Cloudflare.

Người dùng được hướng dẫn hoàn thành các bước dường như là biện pháp bảo mật hợp pháp, nhưng thực tế lại kích hoạt các script độc hại hoặc cấp các quyền trình duyệt nguy hiểm. Các cuộc tấn công khai thác lòng tin mà mọi người đã xây dựng đối với các tương tác bảo mật trực tuyến định kỳ.

Các nhà phân tích từ Censys đã xác định rằng cảnh quan mối đe dọa này liên quan đến khoảng 9.494 website bị xâm nhập và các thuộc tính độc hại đang hoạt động để lưu trữ các trang captcha giả mạo.

Các nhà nghiên cứu đã theo dõi những tài sản này thông qua việc giám sát liên tục hạ tầng web bị lộ. Họ nhận thấy khoảng 70% tổng số hoạt động captcha giả mạo được quan sát có giao diện hình ảnh gần như giống hệt nhau.

Tuy nhiên, sự tương đồng về mặt hình ảnh này che giấu một hệ sinh thái phân mảnh gồm các phương pháp tấn công khác nhau hoạt động đằng sau cùng một giao diện.

Sự đa dạng về Kỹ thuật tấn công đằng sau giao diện đồng nhất

Mặc dù trông gần như giống hệt nhau, các trang captcha giả mạo sử dụng các kỹ thuật lây nhiễm cơ bản khác nhau. Các nhà nghiên cứu của Censys đã ghi nhận rằng trong nhóm trực quan lớn nhất của các trang captcha giả mạo, ít nhất 32 biến thể payload riêng biệt đã được phát hiện trên nhiều mô hình thực thi không tương thích.

Phân tích các phương thức tấn công mạng chính

Các kỹ thuật tấn công được sử dụng trong các chiến dịch captcha giả mạo bao gồm:

Kỹ thuật chiếm quyền điều khiển bằng Clipboard

Phương pháp dựa trên thao tác clipboard vẫn là kỹ thuật phổ biến nhất. Các trình tải VBScript chiếm khoảng 1.706 tài sản được quan sát, trong khi các phương pháp dựa trên PowerShell xuất hiện trên khoảng 1.269 trang.

Các cuộc tấn công này sao chép các lệnh độc hại vào clipboard của người dùng và hướng dẫn nạn nhân dán và thực thi mã thông qua các bước xác minh dường như hợp pháp. Các lệnh này thường được thiết kế để tải xuống và thực thi mã độc bổ sung từ các máy chủ điều khiển của kẻ tấn công.

Ví dụ, một lệnh PowerShell độc hại có thể được sao chép vào clipboard, sau đó người dùng được yêu cầu dán vào cửa sổ lệnh để “xác minh”.

Phân phối dựa trên trình cài đặt (MSI)

Phương pháp phân phối dựa trên trình cài đặt thông qua MSIEXEC chiếm khoảng 1.212 tài sản. Kỹ thuật này chuyển cuộc tấn công mạng sang các bề mặt bảo mật khác hoàn toàn.

Thay vì thực thi mã trực tiếp, người dùng bị lừa tải xuống và chạy một tệp Windows Installer (MSI) độc hại. Các tệp MSI này thường được lưu trữ trên các miền bị xâm nhập và có thể cài đặt nhiều loại mã độc khác nhau vào hệ thống của nạn nhân.

Mô hình phân phối không tệp qua thông báo đẩy (Matrix Push C2)

Framework Matrix Push C2 giới thiệu một mô hình phân phối hoàn toàn không tệp, được tìm thấy trên khoảng 1.281 tài sản. Kỹ thuật này lừa người dùng cấp quyền thông báo trình duyệt thay vì thực thi ngay lập tức các payload.

Một khi quyền được cấp, những kẻ tấn công có thể đẩy nội dung độc hại sau này thông qua kênh thông báo của trình duyệt. Điều này cho phép kẻ tấn công gửi các thông báo lừa đảo hoặc liên kết độc hại trực tiếp đến người dùng.

Phân tích tĩnh các trang này không tiết lộ bất kỳ tạo phẩm thực thi nào, bởi vì việc phân phối được hoãn lại và được kiểm soát hoàn toàn bởi các máy chủ từ xa. Điều này làm cho các chiến lược phát hiện tấn công truyền thống tập trung vào payload trở nên kém hiệu quả đối với vector tấn công cụ thể này. Đây là một thách thức đáng kể đối với an ninh mạng hiện nay.

Thách thức trong việc phát hiện và phòng ngừa

Sự đa dạng về kỹ thuật tấn công, từ thao tác clipboard đến phân phối không tệp, đặt ra những thách thức đáng kể cho việc phát hiện tấn công. Các hệ thống bảo mật truyền thống có thể không hiệu quả khi đối phó với các phương pháp liên tục thay đổi này.

Đặc biệt, mô hình Matrix Push C2 né tránh hoàn toàn việc để lại dấu vết thực thi trên máy chủ ban đầu, khiến việc nhận diện sớm trở nên khó khăn. Việc người dùng bị lừa cấp quyền trình duyệt thay vì thực thi trực tiếp mã độc cũng là một điểm yếu trong chuỗi bảo mật.

Để chống lại các cuộc tấn công mạng tinh vi như vậy, cần có các phương pháp an ninh mạng toàn diện, bao gồm cả việc nâng cao nhận thức của người dùng về các mối đe dọa lừa đảo và triển khai các giải pháp bảo mật nâng cao có khả năng phân tích hành vi và phát hiện các hoạt động bất thường.

Thông tin chi tiết về nghiên cứu này có thể được tìm thấy tại báo cáo của Censys: Living Off The Web: How Trust Infrastructure Became A Malware Delivery Interface.