VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 1 - Tháng 8 - 2023

date
Jul 31, 2023
slug
tin-tuc-attt-tuan-1-thang-8-nam-2023
author
status
Public
tags
News
Daily
Blog
Git
Docs
Github
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 1 tháng 8 - 2023 (31/7-5/8)
type
Post
thumbnail
cyber-key.webp
category
News
updatedAt
Aug 9, 2023 06:54 AM
1. Phiên bản Linux của mã độc tống tiền Abyss Locker nhắm vào các máy chủ VMware ESXi2. P2PInfect lây lan botnet server bằng cách sử dụng tính năng sao chép Redis3. Google: Bản vá lỗ hổng Android khiến n-day nguy hiểm như zero-day4. Tin tặc đánh cắp dữ liệu người dùng Signal, WhatsApp bằng ứng dụng trò chuyện Android giả mạo4. Khách hàng của Ngân hàng Châu Âu được nhắm mục tiêu trong Chiến dịch Trojan Android SpyNote5. NodeStealer nhắm mục tiêu vào tài khoản doanh nghiệp Facebook và ví tiền điện tử6. Tin tặc có thể lợi dụng Microsoft Office để tải xuống phần mềm độc hại7. Tin tặc đã khai thác lỗ hổng zero-day Salesforce trong cuộc tấn công phishing trên Facebook8. Phần mềm độc hại Chrome Rilide nhắm mục tiêu vào người dùng doanh nghiệp thông qua các hướng dẫn PowerPoint9. Ứng dụng độc hại sử dụng kỹ thuật tạo phiên bản Sneaky để vượt qua trình quét Google Play Store

1. Phiên bản Linux của mã độc tống tiền Abyss Locker nhắm vào các máy chủ VMware ESXi

Hoạt động mới nhất của mã độc tống tiền Abyss Locker là phát triển bộ mã hóa Linux, từ đó nhắm mục tiêu vào nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.
Khi các doanh nghiệp chuyển từ việc sử dụng các máy chủ riêng lẻ sang máy chủ ảo để quản lý tài nguyên, gia tăng hiệu suất và khắc phục sự cố hiệu quả, thì các nhóm ransomware đã tạo ra các bộ mã hóa nhằm chuyển hướng mục tiêu sang các nền tảng này.
Với việc VMware ESXi là một trong những nền tảng máy ảo phổ biến nhất hiện nay, hầu hết mọi nhóm ransomware đều đã bắt đầu phát hành các bộ mã hóa Linux để mã hóa dữ liệu trên các máy chủ ảo (hầu hết là nhắm vào VMware ESXi). Các nhóm ransomware đó bao gồm: Akira, Royal, Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX và Hive.
Abyss Locker
Abyss Locker là một ransomware tương đối mới được cho là xuất hiện vào tháng 3 năm 2023, khi nó bắt đầu nhắm mục tiêu vào các doanh nghiệp trong các cuộc tấn công.
Giống như các dòng ransomware khác, mã độc Abyss Locker sẽ xâm nhập vào mạng công ty, đánh cắp dữ liệu để tống tiền và mã hóa các thiết bị có trong mạng.
Dữ liệu bị đánh cắp sau đó được sử dụng để tống tiền bằng cách đe dọa rò rỉ các tệp nếu không trả tiền chuộc. Để rò rỉ các tệp bị đánh cắp, những kẻ tấn công đã tạo một trang web rò rỉ dữ liệu trên nền tảng Tor có tên “Abyss-data”, hiện đang có 14 nạn nhân được hiển thị trên nền tảng này.
Trang web rò rỉ dữ liệu Abyss Locker
notion image
Chúng tuyên bố đã đánh cắp được rất nhiều dữ liệu, từ 35 đến 700 GB.
Nhắm mục tiêu vào máy chủ VMware ESXi
Các chuyên gia an ninh mạng đã tìm thấy bộ mã hóa Linux ELF cho hoạt động của Abyss Locker. Sau khi xem xét các chuỗi trong tệp thực thi, rõ ràng là bộ mã hóa nhắm mục tiêu cụ thể đến các máy chủ VMware ESXi.
Từ các lệnh bên dưới, bộ mã hóa sử dụng công cụ quản lý VMware ESXi dưới dạng dòng lệnh “esxcli” để liệt kê tất cả các máy ảo có sẵn trước tiên và sau đó chấm dứt chúng.
esxcli vm process list
esxcli vm process kill -t=soft -w=%d
esxcli vm process kill -t=hard -w=%d
esxcli vm process kill -t=force -w=%d
Khi tắt máy ảo, Abyss Locker sẽ sử dụng lệnh “vm process kill” và một trong các tùy chọn “soft”, “hard” hoặc “force”.
Tùy chọn “soft” thực hiện tắt máy nhẹ nhàng, tùy chọn “hard” sẽ chấm dứt VM ngay lập tức và “force” được sử dụng như là phương án cuối cùng.
Bộ mã hóa chấm dứt tất cả các máy ảo để cho phép các đĩa ảo, ảnh chụp nhanh và dữ liệu liên kết được mã hóa đúng cách bằng việc mã hóa tất cả các tệp có phần mở rộng: ".vmdk" - đĩa ảo, ".vmsd" - dữ liệu liên kết và ".vmsn" - ảnh chụp nhanh.
Ngoài việc nhắm mục tiêu vào các máy ảo, phần mềm tống tiền cũng sẽ mã hóa tất cả các tệp khác trên thiết bị và nối thêm phần mở rộng .crypt vào tên tệp của chúng
Các tệp được mã hóa và ghi chú đòi tiền chuộc
Các tệp được mã hóa và ghi chú đòi tiền chuộc
Đối với mỗi tệp, bộ mã hóa cũng sẽ tạo một tệp có phần mở rộng “.README_TO_RESTORE”, đóng vai trò như một ghi chú đòi tiền chuộc.
Ghi chú đòi tiền chuộc này chứa thông tin về những gì đã xảy ra với các tệp và một liên kết duy nhất đến trang đàm phán Tor của tác nhân đe dọa. Trang web này rất đơn giản, chỉ có một bảng trò chuyện có thể được sử dụng để đàm phán với nhóm ransomware.
Ghi chú đòi tiền chuộc của Abyss Locker
Ghi chú đòi tiền chuộc của Abyss Locker
Chuyên gia an ninh mạng Michael Gillespie cho biết bộ mã hóa Abyss Locker Linux được xây dựng dựa trên mã độc Hello Kitty, và chúng sử dụng thuật toán mã hóa ChaCha.
Tuy nhiên không biết liệu đây có phải là thương hiệu mới của dòng mã độc HelloKitty, hay đó là một dòng mã độc khác được phát triển từ một kẻ tấn công có quyền truy cập vào mã nguồn của HelloKitty.
HelloKitty trước đây là một phần mềm tống tiền có khả năng ngăn chặn việc khôi phục các tệp miễn phí.
Nguồn 🔗 BleepingComputer

2. P2PInfect lây lan botnet server bằng cách sử dụng tính năng sao chép Redis

Các tác nhân đe dọa đang tích cực nhắm mục tiêu vào các phiên bản lưu trữ dữ liệu mã nguồn mở SSH và Redis Redis bị lộ bằng sâu tự sao chép ngang hàng với các phiên bản dành cho cả Windows và Linux của P2Pinfect.
Phần mềm độc hại được viết bằng Rust dựa vào ít nhất hai phương pháp để thiết lập chỗ đứng: một lỗ hổng nghiêm trọng được tiết lộ và vá vào năm ngoái, và một tính năng cho phép sao chép cơ sở dữ liệu chính để có tính sẵn sàng cao và chống lại các tình huống chuyển đổi dự phòng.
Khai thác tính năng sao chép Redis
Unit 42 của Palo Alto Networks đã phát hiện P2PInfect khai thác lỗ hổng nghiêm trọng là CVE-2022-0543.
Vấn đề bảo mật là lỗ hổng thoát sandbox LUA dành riêng cho Debian do sự cố đóng gói cho phép thực thi mã từ xa, với điểm nghiêm trọng nghiêm trọng là 10 trên 10.
Sau khi xâm phạm một phiên bản Redis dễ bị tổn thương với payload ban đầu, P2PInfect tải xuống các tập lệnh và tệp nhị phân độc hại dành riêng cho hệ điều hành mới, đồng thời thêm máy chủ vào danh sách các hệ thống bị nhiễm.
Sau đó, phần mềm độc hại sẽ thêm máy chủ bị nhiễm vào mạng ngang hàng của nó để các máy chủ Redis bị xâm nhập trong tương lai có thể truy cập vào gói payload độc hại.
Các nhà nghiên cứu tại công ty điều tra và ứng phó sự cố cloud Cado Security cũng tìm thấy trên honeypot của họ một mẫu P2PInfect, bao gồm cả tệp nhị phân Portable Executable (PE) và ELF, cho biết khả năng tương thích đa nền tảng giữa Windows và Linux.
Mẫu mà họ đã phân tích cũng sử dụng một lộ trình truy cập ban đầu khác bằng cách khai thác tính năng sao chép Redis cho phép tạo các bản sao chính xác của phiên bản Redis main/leader.
Một kiểu tấn công phổ biến chống lại Redis trong môi trường đám mây là khai thác tính năng này bằng cách sử dụng một phiên bản độc hại để kích hoạt bản sao.
Kẻ đe dọa có thể đạt được điều này bằng cách kết nối với một phiên bản Redis bị lộ và đưa ra một  lệnh cụ thể, được ghi lại SLAVEOF; phương pháp này  có từ năm 2018 và đã được sử dụng trong nhiều chiến dịch.
P2PInfect chiếm quyền kiểm soát thông qua tính năng sao chép Redis
P2PInfect chiếm quyền kiểm soát thông qua tính năng sao chép Redis
Chuẩn bị cho sự đồng bộ của botnet
Theo Cado Security, tpayload chính là một tệp nhị phân ELF “được viết bằng C và Rust”, cuối cùng sẽ thực thi thành phần Rust của payload.
Sau khi thực thi, tệp nhị phân cập nhật cấu hình SSH của máy chủ và sửa đổi cấu hình máy chủ OpenSSH “sang trạng thái gần như mặc định” cho phép kẻ tấn công kết nối với máy chủ thông qua giao thức secure shell (SSH) và cho phép xác thực mật khẩu.
Tác nhân đe dọa sau đó khởi động lại dịch vụ SSH và thêm khóa SSH vào danh sách các khóa được ủy quyền cho người dùng hiện tại.
Trong bước tiếp theo, kẻ tấn công sử dụng tập lệnh bash để sửa đổi tên cho  các tệp nhị phân wget và curl, kiểm tra sự hiện diện của các tiện ích cụ thể và cài đặt chúng nếu không có sẵn.
Danh sách hiển thị một số hành động do chạy tập lệnh:
  • Đổi tên nhị phân wget curl thành wgbtx clbtx tương ứng. Đây có thể là một nỗ lực nhằm cản trở bất kỳ người ứng cứu sự cố nào sử dụng chúng để loại bỏ các công cụ pháp y, cũng như ngăn các giải pháp EDR phát hiện việc sử dụng lệnh. Đây là một TTP phổ biến cho các tác nhân đe dọa đám mây.
  • Kiểm tra lệnh iptables và cài đặt nó nếu không tìm thấy. Nó có một số lệnh dành riêng cho các trình quản lý gói riêng lẻ, vì vậy nó có thể được cài đặt bất kể bản phân phối Linux đang được sử dụng.
  • Kiểm tra lệnh awk và cài đặt nó nếu không tìm thấy. Giống như lệnh trước, nó sẽ cố gắng sử dụng một số trình quản lý gói.
  • Kiểm tra lệnh netstat và cài đặt nó nếu không tìm thấy. Giống như các lệnh trước, nó sẽ cố gắng sử dụng một số trình quản lý gói.
  • Sử dụng netstat awk để thu thập danh sách tất cả các IP hiện được kết nối với máy chủ Redis đang chạy trên máy chủ mục tiêu.
  • Thêm quy tắc iptables để cho phép lưu lượng truy cập từ mỗi IP này đến máy chủ Redis.
  • Thêm quy tắc iptables để từ chối tất cả lưu lượng truy cập khác đến máy chủ Redis.
  • Thêm quy tắc iptables để cho phép tất cả lưu lượng truy cập vào một cổng được chọn ngẫu nhiên mà payload chính lắng nghe để liên lạc với mạng botnet.
Các nhà nghiên cứu giải thích rằng việc sử dụng iptables có thể là để ngăn chặn những kẻ tấn công khác xâm phạm máy chủ Redis dễ bị tấn công. Phần mềm độc hại cũng thiết lập sự tồn tại lâu dài trên máy chủ bị xâm nhập.
Thực hiện theo bước này, máy chủ bị nhiễm sẽ nhận được ít nhất một tệp nhị phân có thể quét qua  /proc  và mở stat cho từng quy trình ở đó. Nó cũng có thể giám sát thư mục /proc để thay đổi.
Ngoài ra, tệp nhị phân có thể nâng cấp tệp nhị phân chính của phần mềm độc hại và thực thi nó nếu chữ ký của nó không khớp với ký tự được lấy từ mạng botnet.
P2PInfect coi mỗi máy chủ Redis bị xâm nhập là một nút, biến mạng thành một mạng botnet ngang hàng có thể nhận hướng dẫn mà không cần máy chủ chỉ huy và kiểm soát (C2) tập trung.
Các lệnh được đưa ra bằng cách truyền các thông báo đã ký trên toàn mạng.
Một máy chủ HTTP đơn giản cho phép giao tiếp giữa các máy khác qua một cổng ngẫu nhiên trong khoảng từ 60100 đến 60150, cũng như nhận một số payload nhất định. Tuy nhiên, việc phối hợp mạng botnet được thực hiện qua HTTPS bằng chứng chỉ được mã hóa cứng.
Dựa trên chứng chỉ này, Cado Security đánh giá rằng chiến dịch đã bắt đầu “vào hoặc sau ngày 29 tháng 6”.
Tìm máy ch d b tn công
Việc lây nhiễm thêm nhiều máy chủ được thực hiện sau khi kiểm tra lịch sử bash để lấy các IP, người dùng và khóa SSH có sẵn để loại trừ khỏi tìm kiếm.
Phần mềm độc hại chọn một tiền tố mạng /16 ngẫu nhiên và bắt đầu quét các máy chủ SSH và Redis bị lộ. Nó truy cập các máy chủ được bảo vệ yếu bằng cách sử dụng danh sách mật khẩu cho brute force.
Với máy chủ Redis, P2PInfect sẽ cố gắng khai thác CVE-2022-0543 hoặc tính năng sao chép để tải các module độc hại trên máy chủ.
Các nhà nghiên cứu của Palo Alto Networks cho biết tại thời điểm họ nghiên cứu, có hơn 307.000 phiên bản Redis có thể truy cập được qua internet công cộng. Mặc dù không phải tất cả chúng đều có thể dễ bị tổn thương, nhưng P2PInfect có khả năng kiểm tra chúng để tìm điểm yếu hoặc lỗ hổng và thỏa hiệp.
Tại thời điểm này, mục đích của P2PInfect vẫn chưa rõ ràng. Cả Palo Alto Networks và các nhà nghiên cứu Cado Security đều không thể xác định lý do đằng sau việc lây nhiễm máy chủ Redis.
Một đầu mối tiềm năng cho mục đích của P2PInfect là sự hiện diện của một nhị phân được gọi là “công cụ khai thác”, có thể chỉ ra hoạt động khai thác tiền điện tử.
Tuy nhiên, Cado Security quan sát thấy rằng tệp đã được thực thi và sau đó bị xóa nhưng không có bằng chứng về việc khai thác tiền điện tử. Thay vào đó, nó chỉ tiếp tục thực hiện sleep syscall, điều này không làm gì cả.
Đây có thể chỉ là giai đoạn đầu của chiến dịch và chức năng bổ sung, có thể là khai thác tiền điện tử, sẽ được thêm vào sau khi đủ số lượng phiên bản Redis bị xâm phạm.
Nghiên cứu của Unit 42
Nguồn 🔗 BleepingComputer

3. Google: Bản vá lỗ hổng Android khiến n-day nguy hiểm như zero-day

Google đã báo cáo lỗ hổng 0 ngày hàng năm, trình bày số liệu thống kê khai thác từ năm 2022 và nêu một vấn đề tồn tại lâu dài trong nền tảng Android làm tăng giá trị và việc sử dụng các lỗ hổng được tiết lộ trong thời gian dài.
Báo cáo của Google nhấn mạnh vấn đề n-day trong Android hoạt động như 0-day đối với các tác nhân đe dọa.
Vấn đề bắt nguồn từ sự phức tạp của Android, bao gồm một số bước giữa nhà cung cấp đầu nguồn (Google) và nhà sản xuất cuối nguồn (nhà sản xuất điện thoại), sự khác biệt đáng kể về khoảng thời gian cập nhật bảo mật giữa các mẫu thiết bị khác nhau, thời gian hỗ trợ ngắn, trách nhiệm lẫn lộn.
Lỗ hổng zero-day  là một lỗ hổng phần mềm được biết đến trước khi nhà cung cấp phát hiện ra hoặc sửa lỗi đó, cho phép lỗ hổng này bị khai thác trong các cuộc tấn công trước khi có bản vá. Tuy nhiên, lỗ hổng n-day là lỗ hổng được biết đến công khai dù có hoặc không có bản vá.
Ví dụ: nếu một lỗi được biết đến trong Android trước Google, thì đó được gọi là zero-day. Tuy nhiên, một khi Google biết về nó, nó sẽ trở thành n-day, với n  phản ánh số ngày kể từ khi nó được biết đến công khai.
Google cảnh báo rằng những kẻ tấn công có thể sử dụng n-day để tấn công các thiết bị chưa được vá lỗi trong nhiều tháng, sử dụng các phương pháp khai thác đã biết hoặc tự nghĩ ra, mặc dù Google hoặc nhà cung cấp khác đã cung cấp bản vá lỗi.
Điều này xảy ra do lỗ hổng bản vá, trong đó Google hoặc nhà cung cấp khác sửa một lỗi, nhưng phải mất vài tháng để nhà sản xuất thiết bị tung ra lỗi đó trong các phiên bản Android của riêng họ.
"Những khoảng cách giữa các nhà cung cấp đầu nguồn và các nhà sản xuất cuối nguồn cho phép n-day - lỗ hổng được biết đến công khai - hoạt động như 0-day vì không có bản vá nào có sẵn cho người dùng và biện pháp phòng vệ duy nhất của họ là ngừng sử dụng thiết bị"
"Mặc dù những khoảng cách này tồn tại trong hầu hết các mối quan hệ, nhưng chúng phổ biến hơn và lâu hơn trong Android."
N-day có hiệu lực như 0-day
Vào năm 2022, nhiều sự cố thuộc loại này đã ảnh hưởng đến Android, đáng chú ý nhất là  CVE-2022-38181 , một lỗ hổng trong GPU ARM Mali. Lỗ hổng này đã được báo cáo cho nhóm Bảo mật Android vào tháng 7 năm 2022, được coi là "không khắc phục được", được ARM vá vào tháng 10 năm 2022 và cuối cùng được đưa vào bản cập nhật bảo mật Android tháng 4 năm 2023.
Lỗ hổng này được phát hiện khai thác vào tháng 11 năm 2022, một tháng sau khi ARM phát hành bản sửa lỗi.
Việc khai thác vẫn tiếp tục cho đến tháng 4 năm 2023, khi bản cập nhật bảo mật Android đưa ra bản sửa lỗi, tức là 6 tháng sau khi ARM giải quyết vấn đề bảo mật.
  • CVE-2022-3038: Lỗ hổng thoát sandbox trong Chrome 105, đã được vá vào tháng 6 năm 2022, nhưng vẫn chưa được xử lý trên các trình duyệt của nhà cung cấp dựa trên các phiên bản Chrome cũ hơn, chẳng hạn như 'Internet Browser.' của Samsung.
  • CVE-2022-22706: Lỗ hổng trong trình điều khiển nhân GPU ARM Mali được nhà cung cấp vá vào tháng 1 năm 2022.
Hai lỗ hổng được phát hiện khai  thác vào tháng 12 năm 2022  như một phần của chuỗi tấn công đã lây nhiễm phần mềm gián điệp cho các thiết bị Android của Samsung.
Samsung đã phát hành bản cập nhật bảo mật cho CVE-2022-22706 vào tháng 5 năm 2023, trong khi bản cập nhật bảo mật Android sử dụng bản sửa lỗi của ARM trong bản  cập nhật bảo mật tháng 6 năm 2023 , ghi nhận sự chậm trễ đáng kinh ngạc là 17 tháng.
Ngay cả sau khi Google phát hành bản cập nhật bảo mật Android, các nhà cung cấp thiết bị phải mất tới ba tháng để cung cấp các bản sửa lỗi cho các kiểu máy được hỗ trợ, tạo cho kẻ tấn công thêm một cơ hội khai thác cho các thiết bị cụ thể.
Lỗ hổng bản vá này thực sự làm cho n-day trở nên có giá trị như zero-day đối với những kẻ đe dọa có thể khai thác nó trên các thiết bị chưa được vá. Một số người có thể coi n-days này hữu ích hơn so với zero-days vì các chi tiết kỹ thuật đã được xuất bản, có khả năng xảy ra với các khai thác PoC, giúp các tác nhân đe dọa dễ dàng lạm dụng chúng hơn.
Bản tóm tắt hoạt động năm 2022 của Google cho thấy số lỗ hổng zero-day đã giảm so với năm 2021, ở mức 41 lỗi được tìm thấy, trong khi mức giảm đáng kể nhất được ghi nhận trong danh mục trình duyệt, có 15 lỗ hổng vào năm ngoái (là 26 lỗi vào năm 2021).
Hơn 40% lỗ hổng zero-day được phát hiện vào năm 2022 là các biến thể của các lỗ hổng đã được báo cáo trước đó, vì việc bỏ qua các bản sửa lỗi cho các lỗ hổng đã biết thường dễ dàng hơn so với việc tìm kiếm một lỗ hổng 0-day mới có thể phục vụ cho các chuỗi tấn công tương tự.
Nguồn 🔗 BleepingComputer

4. Tin tặc đánh cắp dữ liệu người dùng Signal, WhatsApp bằng ứng dụng trò chuyện Android giả mạo

Tin tặc đang sử dụng một ứng dụng Android giả mạo có tên 'SafeChat' để lây nhiễm phần mềm gián điệp độc hại sang thiết bị nhằm đánh cắp nhật ký cuộc gọi, tin nhắn và vị trí GPS từ điện thoại.
Phần mềm gián điệp Android bị nghi ngờ là một biến thể của "Coverlm", đánh cắp dữ liệu từ các ứng dụng liên lạc như Telegram, Signal, WhatsApp, Viber và Facebook Messenger.
Các nhà nghiên cứu của CYFIRMA cho biết nhóm hack APT của Ấn Độ 'Bahamut' đứng đằng sau chiến dịch này, với các cuộc tấn công mới nhất của họ được thực hiện chủ yếu thông qua các tin nhắn lừa đảo trên WhatsApp gửi trực tiếp các tải trọng độc hại đến nạn nhân.
Ngoài ra, các nhà phân tích của CYFIRMA nêu bật một số điểm tương đồng của TTP với một nhóm đe dọa khác do nhà nước Ấn Độ tài trợ, 'DoNot APT' (APT-C-35), trước đây đã lây nhiễm Google Play bằng các ứng dụng trò chuyện giả mạo hoạt động như phần mềm gián điệp.
Cuối năm ngoái, ESET đã báo cáo rằng nhóm Bahamut đang sử dụng các ứng dụng VPN giả mạo cho nền tảng Android bao gồm các chức năng phần mềm gián điệp mở rộng.
Trong chiến dịch mới nhất do CYFIRMA quan sát, Bahamut nhắm mục tiêu vào các cá nhân ở Nam Á.
Chi tiết "Safe Chat"
Mặc dù CYFIRMA không đi sâu vào các chi tiết cụ thể của khía cạnh kỹ thuật xã hội của cuộc tấn công, nhưng nạn nhân thường bị thuyết phục cài đặt ứng dụng trò chuyện với lý do chuyển cuộc trò chuyện sang một nền tảng an toàn hơn.
Các nhà phân tích báo cáo rằng Trò chuyện an toàn có giao diện lừa đảo làm cho nó trông giống như một ứng dụng trò chuyện thực sự và cũng đưa nạn nhân thông qua quy trình đăng ký người dùng có vẻ hợp pháp để tăng thêm độ tin cậy và đóng vai trò là vỏ bọc tuyệt vời cho phần mềm gián điệp.
Màn hình đăng ký Safe Chat
Màn hình đăng ký Safe Chat
Một bước quan trọng trong quá trình lây nhiễm là giành được quyền sử dụng Accessibility Services, sau đó bị lạm dụng để tự động cấp thêm quyền cho phần mềm gián điệp.
Các quyền bổ sung này cho phép phần mềm gián điệp truy cập vào danh sách liên hệ, SMS, nhật ký cuộc gọi, bộ nhớ thiết bị bên ngoài của nạn nhân và tìm nạp dữ liệu vị trí GPS chính xác từ thiết bị bị nhiễm 
Tất cả các quyền có trong tệp manifest của phần mềm gián điệp
Tất cả các quyền có trong tệp manifest của phần mềm gián điệp
Ứng dụng cũng yêu cầu người dùng phê duyệt loại trừ khỏi hệ thống phụ tối ưu hóa pin của Android, hệ thống này sẽ chấm dứt các quy trình nền khi người dùng không tích cực tương tác với ứng dụng.
Một đoạn mã khác từ tệp Android Manifest cho thấy tác nhân đe dọa đã thiết kế ứng dụng để tương tác với các ứng dụng trò chuyện đã được cài đặt khác
"Tương tác sẽ diễn ra bằng ý định, quyền OPEN_DOCUMENT_TREE sẽ chọn các thư mục cụ thể và truy cập ứng dụng được đề cập trong ý định."
Module giám sát các ứng dụng trò chuyện khác trên thiết bị 
Module giám sát các ứng dụng trò chuyện khác trên thiết bị 
Module lọc dữ liệu chuyển thông tin từ thiết bị đến máy chủ C2 của kẻ tấn công thông qua cổng 2053.
Dữ liệu bị đánh cắp được mã hóa bằng một module khác hỗ trợ RSA, ECB và OAEPPadding. Đồng thời, những kẻ tấn công cũng sử dụng chứng chỉ "letsencrypt" để trốn tránh mọi nỗ lực đánh chặn dữ liệu mạng chống lại chúng.
CYFIRMA kết luận báo cáo bằng cách nói rằng họ có đủ bằng chứng để liên kết Bahamut với việc làm việc thay cho một chính quyền bang cụ thể ở Ấn Độ.
Ngoài ra, việc sử dụng cùng một cơ quan cấp chứng chỉ như nhóm DoNot APT, các phương pháp đánh cắp dữ liệu tương tự, phạm vi nhắm mục tiêu chung và việc sử dụng các ứng dụng Android để lây nhiễm các mục tiêu đều cho thấy sự chồng chéo hoặc cộng tác chặt chẽ giữa hai nhóm.
Nguồn 🔗 BleepingComputer

4. Khách hàng của Ngân hàng Châu Âu được nhắm mục tiêu trong Chiến dịch Trojan Android SpyNote

Nhiều khách hàng châu Âu của các ngân hàng đang là mục tiêu của một trojan ngân hàng Android có tên SpyNote được phát hiện vào tháng 6 và tháng 7 năm 2023.
“Phần mềm gián điệp được phân phối thông qua các chiến dịch lừa đảo hoặc lừa đảo qua email và các hoạt động gian lận được thực hiện với sự kết hợp giữa các khả năng của trojan truy cập từ xa (RAT) và tấn công ảo”
SpyNote , còn được gọi là SpyMax, tương tự như các Trojan ngân hàng Android khác ở chỗ nó yêu cầu quyền truy cập của Android để tự cấp cho mình các quyền cần thiết khác và thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm. Điều làm cho dòng phần mềm độc hại này trở nên đáng chú ý là chức năng kép của nó là phần mềm gián điệp và thực hiện gian lận ngân hàng.
Chuỗi tấn công bắt đầu bằng một tin nhắn SMS giả thúc giục người dùng cài đặt ứng dụng ngân hàng bằng cách nhấp vào liên kết đi kèm, chuyển hướng nạn nhân đến ứng dụng TeamViewer QuickSupport hợp pháp có sẵn trên Cửa hàng Google Play.
"TeamViewer đã được một số tác nhân đe dọa sử dụng để thực hiện các hoạt động gian lận thông qua các cuộc tấn công kỹ thuật xã hội. Kẻ tấn công gọi điện cho nạn nhân, mạo danh nhân viên điều hành ngân hàng và thực hiện các giao dịch lừa đảo trực tiếp trên thiết bị của nạn nhân."
Ý tưởng là sử dụng TeamViewer như một công cụ để có quyền truy cập từ xa vào điện thoại của nạn nhân và cài đặt phần mềm độc hại một cách lén lút. Các loại thông tin khác nhau được SpyNote thu thập bao gồm dữ liệu định vị địa lý, lần gõ phím, bản ghi màn hình và tin nhắn SMS để bỏ qua xác thực hai yếu tố dựa trên SMS (2FA).
notion image
Tiết lộ được đưa ra khi hoạt động hack-for-hire được gọi là Bahamut có liên quan đến một chiến dịch mới nhắm mục tiêu vào các cá nhân ở khu vực Trung Đông và Nam Á với mục tiêu cài đặt một ứng dụng trò chuyện giả có tên SafeChat che giấu phần mềm độc hại Android có tên là CoverIm.
Được cung cấp cho nạn nhân qua WhatsApp, ứng dụng chứa các tính năng giống hệt như của SpyNote, yêu cầu quyền truy cập và các tính năng khác để thu thập nhật ký cuộc gọi, danh bạ, tệp, vị trí, tin nhắn SMS, cũng như cài đặt ứng dụng bổ sung và đánh cắp dữ liệu từ Facebook Messenger, imo , Signal, Telegram, Viber và WhatsApp.
Cyfirma, đã phát hiện ra hoạt động mới nhất, cho biết các chiến thuật được sử dụng bởi tác nhân đe dọa này trùng lặp với một tác nhân quốc gia khác có tên là Nhóm DoNot , gần đây đã được phát hiện sử dụng các ứng dụng Android giả mạo được xuất bản lên Play Store để lây nhiễm cho những người ở Pakistan.
notion image
Mặc dù các chi tiết cụ thể chính xác về khía cạnh kỹ thuật xã hội của cuộc tấn công là không rõ ràng, nhưng Bahamut được biết là dựa vào các nhân vật hư cấu trên Facebook và Instagram, giả vờ là nhà tuyển dụng công nghệ tại các công ty công nghệ lớn, nhà báo, sinh viên và nhà hoạt động để lừa người dùng vô tình tải xuống phần mềm độc hại trên thiết bị của họ.
"Bahamut đã sử dụng nhiều chiến thuật để lưu trữ và phân phối phần mềm độc hại, bao gồm cả việc chạy một mạng gồm các miền độc hại nhằm mục đích cung cấp dịch vụ trò chuyện, chia sẻ tệp, kết nối hoặc ứng dụng tin tức an toàn. Một số người đã giả mạo domain của các phương tiện truyền thông khu vực, tổ chức chính trị hoặc cửa hàng ứng dụng hợp pháp, có khả năng làm cho các liên kết của họ có vẻ hợp pháp hơn."
Nguồn 🔗 TheHackerNews

5. NodeStealer nhắm mục tiêu vào tài khoản doanh nghiệp Facebook và ví tiền điện tử

notion image
Các nhà nghiên cứu an ninh mạng đã tìm thấy được một biến thể Python của phần mềm độc hại đánh cắp NodeStealer được trang bị để chiếm đoạt hoàn toàn các tài khoản doanh nghiệp trên Facebook cũng như tiền điện tử.
Unit 42 của Palo Alto Network cho biết họ đã phát hiện ra phần mềm không có giấy tờ trước đó như một phần của chiến dịch bắt đầu vào tháng 12 năm 2022.
NodeStealer lần đầu tiên bị Meta tiết lộ vào tháng 5 năm 2023, mô tả nó là một kẻ đánh cắp có khả năng thu thập cookie và mật khẩu từ trình duyệt web để xâm phạm tài khoản Facebook, Gmail và Outlook. Mặc dù các mẫu trước đó được viết bằng JavaScript, nhưng các phiên bản mới nhất được mã hóa bằng Python.
“NodeStealer gây rủi ro lớn cho cả cá nhân và tổ chức. Bên cạnh tác động trực tiếp đến các tài khoản kinh doanh trên Facebook, chủ yếu là tài chính, phần mềm độc hại này còn đánh cắp thông tin đăng nhập từ các trình duyệt, có thể được sử dụng cho các cuộc tấn công tiếp theo."
Các cuộc tấn công bắt đầu bằng các tin nhắn giả mạo trên Facebook có mục đích tuyên bố cung cấp các mẫu Microsoft Excel và Google Sheets theo dõi ngân sách "chuyên nghiệp" miễn phí, lừa nạn nhân tải xuống tệp lưu trữ ZIP được lưu trữ trên Google Drive.
Tệp ZIP nhúng bên trong tệp thực thi của kẻ đánh cắp, bên cạnh việc thu thập thông tin tài khoản doanh nghiệp Facebook, được thiết kế để tải xuống phần mềm độc hại bổ sung như BitRAT và XWorm ở dạng tệp ZIP, vô hiệu hóa tính năng Microsoft Defender Antivirus và thực hiện hành vi trộm cắp tiền điện tử bằng cách sử dụng thông tin xác thực MetaMask từ các trình duyệt web Google Chrome, Cốc Cốc và Brave.
Quá trình tải xuống được thực hiện bằng kỹ thuật bỏ qua User Account Control (UAC) sử dụng fodhelper.exe để thực thi các tập lệnh PowerShell truy xuất tệp ZIP từ máy chủ từ xa.
Phương pháp bỏ qua FodHelper UAC cũng đã được các tác nhân đe dọa có động cơ tài chính đằng sau phần mềm độc hại ngân hàng Casbaneiro áp dụng để có được các đặc quyền cao hơn đối với các máy chủ bị nhiễm.
Unit 42 đã phát hiện thêm một biến thể Python được nâng cấp của NodeStealer vượt xa hành vi trộm cắp thông tin xác thực và tiền điện tử bằng cách triển khai các tính năng chống phân tích, phân tích cú pháp email từ Microsoft Outlook và thậm chí cố gắng chiếm đoạt tài khoản Facebook được liên kết.
Khi thông tin cần thiết được thu thập, các tệp sẽ được trích xuất thông qua API Telegram, sau đó chúng sẽ bị xóa khỏi máy để xóa dấu vết.
NodeStealer cũng tham gia cùng với phần mềm độc hại như Ducktail, là một phần trong xu hướng ngày càng tăng của các tác nhân đe dọa Việt Nam đang tìm cách xâm nhập vào tài khoản doanh nghiệp Facebook để lừa đảo quảng cáo và truyền bá phần mềm độc hại cho người dùng khác trên nền tảng truyền thông xã hội.
notion image
Sự phát triển diễn ra khi các tác nhân đe dọa đã được quan sát thấy tận dụng các máy chủ WebDAV để triển khai BATLOADER , sau đó được sử dụng để phân phối XWorm như một phần của cuộc tấn công lừa đảo nhiều giai đoạn.
"Chủ sở hữu tài khoản doanh nghiệp Facebook được khuyến khích sử dụng mật khẩu mạnh và kích hoạt xác thực đa yếu tố. Dành thời gian để cung cấp kiến thức cho tổ chức về các chiến thuật lừa đảo, đặc biệt là các phương pháp tiếp cận hiện đại, có mục tiêu, phù hợp với các sự kiện hiện tại, nhu cầu kinh doanh và các chủ đề hấp dẫn khác."
Nguồn 🔗 TheHackerNews

6. Tin tặc có thể lợi dụng Microsoft Office để tải xuống phần mềm độc hại

Danh sách các tệp LOLBAS - các tệp nhị phân và tập lệnh hợp pháp có trong Windows có thể bị sử dụng cho mục đích xấu, bao gồm các tệp thực thi của ứng dụng Outlook và Access.
Tệp thực thi của Microsoft Publisher đã được xác nhận rằng có thể tải xuống các payload từ máy chủ từ xa.
LOLBAS (Living Off The Land Binaries and Scripts - danh sách các công cụ được sử dụng bởi kẻ tấn công) là các tệp đã ký (signed) và có nguồn gốc từ hệ điều hành Windows hoặc được tải xuống từ Microsoft.
Chúng là những công cụ hợp pháp mà tin tặc có thể lạm dụng trong hoạt động sau khai thác để tải xuống hoặc thực thi payload mà không bị các giải pháp an ninh mạng phát hiện.
Theo nghiên cứu gần đây, ngay cả các tệp thực thi không được Microsoft ký cũng được sử dụng trong các cuộc tấn công, chẳng hạn như mục đích trinh sát, do thám.
Microsoft Office binaries
Dự án LOLBAS hiện tại liệt kê hơn 150 tệp nhị phân, thư viện và tập lệnh liên quan đến Windows có thể cho phép kẻ tấn công thực thi, tải xuống các tệp độc hại hoặc qua mặt danh sách các chương trình tin cậy.
Nhà nghiên cứu Nir Chako đã bắt đầu khám phá các tệp LOLBAS mới bằng cách xem các tệp thực thi trong bộ Microsoft Office.
notion image
Kiểm tra tất cả chúng theo cách thủ công và thấy 3 tệp: MsoHtmEd.exe, MSPub.exe ProtocolHandler.exe có thể được sử dụng làm trình tải xuống cho các tệp của bên thứ ba, do đó phù hợp với tiêu chí LOLBAS.
MsoHtmEd cũng có thể được sử dụng để thực thi các tệp do MsoHtmEd tiếp cận máy chủ HTTP thử nghiệm với yêu cầu GET và tải xuống tệp thử nghiệm.
Với thành công ban đầu này và biết được thuật toán để tìm các tệp thích hợp theo cách thủ công, nhà nghiên cứu đã phát triển một tập lệnh để tự động hóa quá trình xác minh, bao gồm một nhóm tệp thực thi lớn hơn nhanh hơn.
Nir Chako cho biết:
"Sử dụng phương pháp tự động này, chúng tôi đã tìm được thêm 6 trình tải xuống. Nói chung, chúng tôi đã phát hiện ra 9 trình tải xuống mới! Đó là mức tăng gần 30% trong danh sách trình tải xuống LOLBAS chính thức".
Trong một bài đăng trên blog, ông giải thích thêm các tinh chỉnh được thêm vào tập lệnh cho phép liệt kê các tệp nhị phân trong Windows và kiểm tra chúng về khả năng tải xuống ngoài thiết kế dự định.
Tổng cộng, nhà nghiên cứu đã phát hiện ra 11 tệp mới với các chức năng tải xuống và thực thi đáp ứng các nguyên tắc của dự án LOLBAS.
notion image
Những tệp MSPub.exe , Outlook.exe MSAccess.exe đáng chú ý vì chúng có thể được kẻ tấn công hoặc kiểm tra thâm nhập viên sử dụng để tải xuống các tệp của bên thứ ba.
MSPub.exe đã được xác nhận có thể tải xuống tải trọng tùy ý từ một máy chủ từ xa, trong khi hai tệp còn lại chưa được đưa vào danh sách LOLBAS vì lỗi kỹ thuật của Chako.
Nguồn LOLBAS mới
Ngoài các tệp nhị phân của Microsoft, Chako cũng tìm thấy các tệp từ các nhà phát triển khác đáp ứng các tiêu chí LOLBAS, một ví dụ là bộ PyCharm phổ biến để phát triển Python.
notion image
Thư mục cài đặt PyCharm chứa lift.exe (được ký và xác minh bởi JetBrains), có thể thực thi các tệp tùy ý với các đặc quyền nâng cao.
Một tệp khác trong thư mục PyCharm là WinProcessListHelper.exe có thể phục vụ mục đích trinh sát bằng cách liệt kê tất cả các tiến trình đang chạy trên hệ thống.
Một ví dụ khác về công cụ trinh sát LOLBAS mà ông cung cấp là mkpasswd.exe, một phần của thư mục cài đặt Git, có thể cung cấp toàn bộ danh sách người dùng và số nhận dạng bảo mật của họ (SID).
Chako mất 2 tuần để xây dựng một cách tiếp cận chính xác để khám phá các tệp LOLBAS mới và dành 1 tuần nữa để tạo ra các công cụ tự động hóa việc khám phá. Kết quả là các kịch bản cho phép công cụ kiểm tra "toàn bộ nhóm nhị phân của Microsoft" trong khoảng 5 giờ.
Các công cụ mà ông phát triển có thể chạy trên các nền tảng khác (ví dụ: Linux hoặc máy ảo đám mây tùy chỉnh), ở trạng thái hiện tại hoặc với những sửa đổi nhỏ, để khám phá thêm các LOLBAS mới.
Tìm hiểu về các mối đe dọa LOLBAS có thể giúp các chuyên gia an ninh mạng xác định các phương pháp và cơ chế thích hợp để ngăn chặn hoặc giảm thiểu các cuộc tấn công.
Lolbas project
Blog của Chako
Bài báo nghiên cứu chi tiết của Pentera về cách nghiên cứu, cách red team và defender có thể tìm thấy file LOLBAS mới
Nguồn 🔗 BleepingComputer

7. Tin tặc đã khai thác lỗ hổng zero-day Salesforce trong cuộc tấn công phishing trên Facebook

Tin tặc đã khai thác lỗ hổng zero-day trong các dịch vụ email và máy chủ SMTP của Salesforce để bắt đầu một chiến dịch lừa đảo tinh vi nhắm vào các tài khoản Facebook có giá trị.
Những kẻ tấn công đã tạo ra một lỗ hổng có tên là "PhishForce" để vượt qua các biện pháp bảo vệ xác minh người gửi của Salesforce và các thủ thuật trong nền tảng trò chơi web của Facebook để gửi hàng loạt email lừa đảo.
Lợi ích của việc sử dụng một cổng email uy tín như Salesforce để phát tán email lừa đảo là tránh được các cổng email an toàn và các quy tắc lọc, đảm bảo rằng các email độc hại sẽ đến được hộp thư đến của mục tiêu.
Chiến dịch được phát hiện bởi các nhà phân tích của Guardio Labs, những người đã báo cáo lỗ hổng chưa biết cho Salesforce và giúp họ trong quá trình khắc phục.
Tuy nhiên, các vấn đề được phát hiện trong nền tảng trò chơi của Facebook vẫn còn tồn tại, vì các kỹ sư của Meta vẫn đang cố gắng tìm ra lý do tại sao các biện pháp giảm thiểu hiện tại không thể ngăn chặn các cuộc tấn công.
PhishForce bị lạm dụng trong các cuộc tấn công
Salesforce CRM cho phép khách hàng gửi email dưới dạng thương hiệu của riêng họ bằng cách sử dụng các miền tùy chỉnh mà trước tiên nền tảng phải xác minh. Điều này bảo vệ khách hàng gửi email thông qua Salesforce dưới dạng các thương hiệu khác mà họ không được phép mạo danh.
Tuy nhiên, Guardio Labs cho biết những kẻ tấn công đã tìm ra cách khai thác tính năng "Email-to-Case" của Salesforce, tính năng mà các tổ chức sử dụng để chuyển đổi email của khách hàng đến thành yêu cầu hành động cho nhóm hỗ trợ của họ.
Cụ thể, những kẻ tấn công đã thiết lập luồng "Email-to-Case" mới để giành quyền kiểm soát địa chỉ email do Salesforce tạo, sau đó tạo một địa chỉ email gửi đến mới trên miền "salesforce.com".
Địa chỉ Salesforce đã tạo (Guardio Labs)
Địa chỉ Salesforce đã tạo (Guardio Labs)
Tiếp theo, họ đặt địa chỉ đó làm "Organization-Wide Email Address", mà Salesforce's Mass Mailer sử dụng cho email gửi đi và cuối cùng thực hiện quy trình xác minh để xác nhận quyền sở hữu miền.
Nhấp vào liên kết xác minh để xác nhận quyền sở hữu (Guardio Labs)
Nhấp vào liên kết xác minh để xác nhận quyền sở hữu (Guardio Labs)
Quá trình này cho phép họ sử dụng địa chỉ email Salesforce của mình để gửi thư cho bất kỳ ai, bỏ qua cả biện pháp bảo vệ xác minh của Salesforce cũng như bất kỳ bộ lọc email và hệ thống chống lừa đảo nào khác hiện có.
Với các email lừa đảo được cho là đến từ "Meta Platforms" sử dụng miền "case.salesforce.com".
Email lừa đảo được lấy mẫu từ một cuộc tấn công thực sự (Guardio Labs)
Email lừa đảo được lấy mẫu từ một cuộc tấn công thực sự (Guardio Labs)
Nhấp vào nút được nhúng sẽ đưa nạn nhân đến một trang lừa đảo được lưu trữ và hiển thị như một phần của nền tảng trò chơi Facebook ("apps.facebook.com"), điều này làm tăng thêm tính hợp pháp cho cuộc tấn công và khiến người nhận email càng khó nhận ra sự lừa đảo hơn.
Trang lừa đảo được lưu trữ trên nền tảng trò chơi Facebook (Guardio Labs)
Trang lừa đảo được lưu trữ trên nền tảng trò chơi Facebook (Guardio Labs)
Mục tiêu của bộ công cụ lừa đảo được sử dụng trong chiến dịch này là đánh cắp thông tin xác thực tài khoản Facebook, thậm chí còn có cơ chế bỏ qua xác thực hai yếu tố.
Chuỗi tấn công được quan sát (Guardio Labs)
Chuỗi tấn công được quan sát (Guardio Labs)
Meta vẫn đang điều tra
Sau khi xác nhận sự cố bằng cách sao chép việc tạo địa chỉ mang thương hiệu Salesforce có khả năng phát tán email lừa đảo, Guardio Labs đã thông báo cho nhà cung cấp về phát hiện của họ vào ngày 28 tháng 6 năm 2023
Salesforce đã tái tạo lỗ hổng và giải quyết vấn đề đúng một tháng sau đó, vào ngày 28 tháng 7 năm 2023.
Liên quan đến việc lạm dụng "apps.facebook.com", Guardio Labs lưu ý rằng những kẻ tấn công không thể tạo ra trò chơi được sử dụng làm trang đích kể từ khi Facebook ngừng hoạt động nền tảng này vào tháng 7 năm 2020.
Tuy nhiên, các tài khoản cũ đã sử dụng nền tảng này trước khi nó ngừng hoạt động vẫn có quyền truy cập và các tác nhân đe dọa có thể phải trả phí cho những tài khoản đó trên web tối.
Meta đã xóa các trang vi phạm theo báo cáo của Guardio Labs; tuy nhiên, các kỹ sư của họ vẫn đang điều tra lý do tại sao các biện pháp bảo vệ hiện có không thể ngăn chặn các cuộc tấn công.
Khi những kẻ lừa đảo tiếp tục khám phá mọi cơ hội lạm dụng tiềm ẩn đối với các nhà cung cấp dịch vụ hợp pháp, các lỗ hổng bảo mật mới liên tục đe dọa khiến người dùng gặp rủi ro nghiêm trọng.
Do đó, điều cần thiết là không chỉ dựa vào các giải pháp bảo vệ email, đồng thời xem xét kỹ lưỡng mọi email đến hộp thư đến của bạn, tìm kiếm sự không nhất quán và kiểm tra kỹ tất cả các khiếu nại được đưa ra trong các thư đó.
Nghiên cứu của Guardio Labs
Nguồn 🔗 BleepingComputer

8. Phần mềm độc hại Chrome Rilide nhắm mục tiêu vào người dùng doanh nghiệp thông qua các hướng dẫn PowerPoint

Extension độc hại Rilide Stealer trên trình duyệt Chrome đã quay trở lại trong các chiến dịch mới nhắm mục tiêu vào người dùng crpto và nhân viên doanh nghiệp để đánh cắp thông tin đăng nhập và ví tiền điện tử.
Rilide là 1 extension trình duyệt độc hại dành cho các trình duyệt dựa trên Chromium, bao gồm Chrome, Edge, Brave và Opera, mà Trustwave SpiderLabs đã phát hiện lần đầu vào tháng 4 năm 2023.
Khi được phát hiện lần đầu tiên, extension trình duyệt Rilide đã mạo danh các extension Google Drive hợp pháp để chiếm quyền điều khiển trình duyệt, theo dõi tất cả hoạt động của người dùng và đánh cắp thông tin như thông tin đăng nhập tài khoản email hoặc tài sản tiền điện tử.
Trustwave Spiderlabs đã phát hiện ra một phiên bản Rilide mới hiện hỗ trợ Chrome Extension Manifest V3, cho phép phiên bản này khắc phục các hạn chế do thông số kỹ thuật extension mới của Google đưa ra và bổ sung thêm khả năng che giấu mã để tránh bị phát hiện.
Extension phần mềm độc hại Rilide mới nhất hiện cũng nhắm mục tiêu vào các tài khoản ngân hàng. Nó có thể lọc dữ liệu bị đánh cắp qua kênh Telegram hoặc bằng cách chụp ảnh màn hình theo các khoảng thời gian xác định trước và gửi chúng đến máy chủ C2.
Mạo danh extensions của Palo Alto
Trustwave báo cáo rằng Rilide được phát tán trong nhiều chiến dịch đang diễn ra và vì đây là phần mềm độc hại hàng hóa được bán trên các diễn đàn tin tặc nên có khả năng chúng đang được thực hiện bởi các tác nhân đe dọa khác nhau.
Một chiến dịch nhắm mục tiêu vào nhiều ngân hàng, nhà cung cấp dịch vụ thanh toán, nhà cung cấp dịch vụ email, nền tảng trao đổi tiền điện tử, VPN và nhà cung cấp dịch vụ đám mây, sử dụng injection scripts, chủ yếu tập trung vào người dùng ở Úc và Vương quốc Anh.
Các nhà phân tích đã phát hiện ra hơn 1.500 trang lừa đảo sử dụng tên miền đánh máy, được quảng cáo thông qua SEO trên các công cụ tìm kiếm đáng tin cậy và mạo danh ngân hàng và nhà cung cấp dịch vụ để lừa nạn nhân nhập thông tin đăng nhập tài khoản của họ vào biểu mẫu lừa đảo.
Trang HSBC lừa đảo như một phần của chiến dịch Rilide
Trang HSBC lừa đảo như một phần của chiến dịch Rilide
Trong một trường hợp khác, người dùng bị lây nhiễm qua các email lừa đảo được cho là quảng cáo các ứng dụng VPN hoặc tường lửa, chẳng hạn như Ứng dụng GlobalProtect của Palo Alto.
Trong chiến dịch này, Trustwave đã tìm thấy một bản trình bày PowerPoint nhắm mục tiêu đến nhân viên ZenDesk, giả vờ là một cảnh báo bảo mật, hướng dẫn người dùng cài đặt extension.
Bản trình bày này bao gồm các trang trình bày cảnh báo rằng các tác nhân đe dọa đang mạo danh GlobalProtect để phân phối phần mềm độc hại và cung cấp các bước mà người dùng nên làm theo các bước trong hướng dẫn để cài đặt đúng phần mềm.
Tuy nhiên, đây thực sự là một kỹ thuật xã hội để khiến người dùng được nhắm mục tiêu cài đặt extension Rilide độc hại thay thế.
Tài liệu PowerPoint được tạo để hướng dẫn người dùng cài đặt Rilide
Tài liệu PowerPoint được tạo để hướng dẫn người dùng cài đặt Rilide
Cuối cùng, Trustwave đã phát hiện ra một chiến dịch chạy trên Twitter, đưa nạn nhân đến các trang web lừa đảo cho các trò chơi blockchain P2E (Play To Earn) giả mạo. Tuy nhiên, những trình cài đặt trên các trang web này lại cài đặt extension Rilide, cho phép những kẻ đe dọa đánh cắp ví tiền điện tử của nạn nhân.
Chuỗi lây nhiễm cho ba chiến dịch Rilide
Chuỗi lây nhiễm cho ba chiến dịch Rilide
Bất kể chiến dịch phân phối là gì, khi cài đặt, extension sẽ giao tiếp với máy chủ của kẻ tấn công và nhận một trong các lệnh sau:
  • extension – Bật hoặc tắt extension từ danh sách các extension đã cài đặt.
  • Info – Gửi thông tin hệ thống và trình duyệt đến máy chủ C2. Nhận tất cả các cài đặt cấu hình.
  • Push – Tạo thông báo với thông báo, tiêu đề và biểu tượng được chỉ định. Khi nhấp vào thông báo, tab mới có URL từ máy chủ C2 sẽ được mở.
  • Cookies – Nhận tất cả cookie của trình duyệt và gửi chúng đến máy chủ C2.
  • Screenshot – Chụp khu vực hiển thị của tab hiện đang hoạt động trong cửa sổ hiện tại.
  • url – Tạo tab mới với URL được cung cấp.
  • current_url – Truy xuất URL từ tab đang hoạt động.
  • History - Nhận lịch sử duyệt web trong 30 ngày qua.
  • Injects – Truy xuất injection code để áp dụng cho các URL cụ thể.
  • Settings – Truy xuất cấu hình cài đặt proxy, grabbers và telegram
  • Proxy – Bật hoặc tắt proxy. Những kẻ đe dọa sử dụng triển khai proxy từ công cụ 'CursedChrome' cho phép duyệt web được xác thực là nạn nhân.
  • screenshot_rules – Cập nhật danh sách các quy tắc cho module lấy ảnh chụp màn hình trong các khoảng thời gian được chỉ định.
Với bộ lệnh mở rộng này, những kẻ đe dọa có thể đánh cắp nhiều loại thông tin mà sau đó có thể được sử dụng cho ví tiền điện tử và có quyền truy cập vào tài khoản trực tuyến của chúng.
Manifest V3 bypass
Việc Rilide thích ứng với Manifest V3 là rất quan trọng đối với hoạt động và thành công của nó, vì tiêu chuẩn mới của Google ngăn các tiện ích mở rộng cũ hơn ngừng hoạt động kể từ  tháng 1 năm 2023 .
Manifest V3 giới hạn quyền truy cập của extension vào các yêu cầu mạng của người dùng, ngăn tải mã từ các nguồn từ xa và di chuyển tất cả các sửa đổi yêu cầu mạng từ extensions sang trình duyệt.
Điều này ảnh hưởng đến Rilide vì nó phụ thuộc vào việc tiêm các tập lệnh JS được lưu trữ từ xa, vì vậy các tác giả của nó phải triển khai kết hợp các kỹ thuật được tiết lộ công khai để bỏ qua các yêu cầu của Google.
Ví dụ: các nhà phân tích của Trustwave báo cáo rằng phiên bản mới sử dụng các sự kiện nội tuyến để thực thi JavaScript độc hại và lạm dụng API yêu cầu mạng khai báo để phá vỡ cơ chế ngăn chặn XSS do Chính sách bảo mật nội dung (CSP) đưa ra.
Vì Rilide không được phân phối qua Cửa hàng Chrome trực tuyến, nơi các chính sách của Bản kê khai V3 được thực thi nghiêm ngặt, tác giả của Rilide có thể triển khai các giải pháp thay thế để thực thi mã được lưu trữ từ xa.
Biểu đồ chức năng hoàn chỉnh của Rilide
Biểu đồ chức năng hoàn chỉnh của Rilide
Trở nên phổ biến với tin tặc
Các nhà nghiên cứu của Trustwave đã quan sát thấy việc sử dụng nhiều droppers cho Rilide, điều này được giải thích là do phần mềm độc hại được bán với giá 5.000 đô la cho tội phạm mạng, những kẻ phải nghĩ ra phương pháp phân phối của riêng chúng.
Ngoài ra, đã có một số rò rỉ mã nguồn Rilide có khả năng xác thực trong các diễn đàn ngầm, làm lộ mã nguồn của phần mềm độc hại cho nhiều tin tặc.
Tất cả điều này làm tăng thêm sự đa dạng trong tự nhiên và khiến các chiến dịch Rilide khó lập bản đồ và theo dõi hơn.
Khi tác giả ban đầu của phần mềm độc hại tiếp tục cải thiện tiện ích mở rộng độc hại của Chrome, hoạt động của Rilide trong thực tế sẽ không có khả năng suy yếu.
Nguồn 🔗 BleepingComputer

9. Ứng dụng độc hại sử dụng kỹ thuật tạo phiên bản Sneaky để vượt qua trình quét Google Play Store

Các tác nhân đe dọa đang tận dụng một kỹ thuật có tên là tạo phiên bản để trốn tránh khả năng phát hiện phần mềm độc hại của Cửa hàng Google Play và nhắm mục tiêu vào người dùng Android.
"Các chiến dịch sử dụng phiên bản thường nhắm mục tiêu vào thông tin đăng nhập, dữ liệu và tài chính của người dùng"
Mặc dù lập phiên bản không phải là một hiện tượng mới, nhưng nó diễn ra lén lút và khó phát hiện. Theo phương pháp này, nhà phát triển phát hành phiên bản đầu tiên của ứng dụng trên Cửa hàng Play, phiên bản này đã vượt qua các cuộc kiểm tra trước khi xuất bản của Google, nhưng sau đó được cập nhật với thành phần phần mềm độc hại.
Điều này đạt được bằng cách đẩy một bản cập nhật từ máy chủ do kẻ tấn công kiểm soát để phân phát mã độc hại trên thiết bị của người dùng cuối bằng phương pháp gọi là tải mã động (dynamic code loading-DCL), biến ứng dụng thành một cửa hậu một cách hiệu quả.
Đầu tháng 5 này, ESET đã phát hiện ra một ứng dụng ghi màn hình có tên "iRecorder - Trình ghi màn hình" vẫn vô hại trong gần một năm sau khi lần đầu tiên được tải lên Play Store trước khi những thay đổi độc hại được lén lút đưa vào để theo dõi người dùng.
Một ví dụ khác về phần mềm độc hại sử dụng phương pháp DCL là SharkBot, phần mềm này đã nhiều lần xuất hiện trên Play Store bằng cách giả dạng các ứng dụng bảo mật và tiện ích.
SharkBot là một trojan tài chính bắt đầu chuyển tiền trái phép từ các thiết bị bị xâm nhập bằng giao thức Dịch vụ chuyển tiền tự động (ATS).
notion image
Các ứng dụng Dropper xuất hiện trên mặt tiền cửa hàng đi kèm với chức năng bị giảm, sau khi được nạn nhân cài đặt, sẽ tải xuống phiên bản đầy đủ của phần mềm độc hại nhằm thu hút ít sự chú ý hơn.
"Trong môi trường doanh nghiệp, việc tạo phiên bản cho thấy nhu cầu về các nguyên tắc bảo vệ chuyên sâu, bao gồm nhưng không giới hạn ở việc giới hạn các nguồn cài đặt ứng dụng đối với các nguồn đáng tin cậy như Google Play hoặc quản lý thiết bị của công ty thông qua nền tảng quản lý thiết bị di động (MDM)," công ty cho biết.
Phát hiện được đưa ra khi ThreatFabric tiết lộ rằng những kẻ cung cấp phần mềm độc hại đã khai thác một lỗi trong Android để coi các ứng dụng độc hại là lành tính bằng cách "làm hỏng các thành phần của ứng dụng" sao cho toàn bộ ứng dụng vẫn hợp lệ, theo KrebsOnSecurity .
"Các tác nhân có thể có một số ứng dụng được xuất bản trong cửa hàng cùng một lúc dưới các tài khoản nhà phát triển khác nhau, tuy nhiên, chỉ một ứng dụng hoạt động như độc hại, trong khi ứng dụng kia là bản sao lưu để sử dụng sau khi gỡ xuống"
"Chiến thuật như vậy giúp các tác nhân duy trì các chiến dịch rất dài, giảm thiểu thời gian cần thiết để xuất bản một dropperkhác và tiếp tục chiến dịch phân phối."
Để giảm thiểu mọi rủi ro tiềm ẩn, người dùng Android nên sử dụng các nguồn đáng tin cậy để tải xuống ứng dụng và bật Google Play Protect để nhận thông báo khi tìm thấy ứng dụng có khả năng gây hại (PHA) trên thiết bị.
Nguồn 🔗 TheHackerNews