VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 4 - Tháng 9 - 2023

date
Sep 25, 2023
slug
tin-tuc-attt-tuan-4-thang-9-nam-2023
author
status
Public
tags
News
Ransomware
Malware
Daily
PoC
Blog
Git
Docs
Github
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 4 tháng 9 - 2023 (25/9-30/9)
type
Post
thumbnail
Outlook_headpic_red.webp
category
News
updatedAt
Sep 30, 2023 03:10 PM
1. ZeroFont - kỹ thuật phishing mới trong Outlook2. Các trang web Bitwarden giả mạo phát tán phần mềm độc hại ZenRAT đánh cắp mật khẩu 3. Phần mềm độc hại Android Xenomorph chạy chiến dịch mới nhắm mục tiêu vào Hoa Kỳ4. Phần mềm độc hại Deadglyph stealthy và modular mới được sử dụng trong các cuộc tấn công của chính phủ5. Exela Stealer tấn công người dùng Discord để đánh cắp thông tin đăng nhập6. QR codes trong email lừa đảo7. Khóa SSH bị đánh cắp bởi luồng gói PyPI và npm độc hại

1. ZeroFont - kỹ thuật phishing mới trong Outlook

Hacker đang lợi dụng một kỹ thuật phishing mới có tên Zerofont bằng cách sử dụng các ký tự có kích thước bằng 0 (zero-point fonts) trong thư điện tử để khiến các email độc hại trông như đã được quét an toàn bởi các công cụ an ninh của Microsoft Outlook.
Mặc dù kỹ thuật lừa đảo ZeroFont đã được phát hiện trong quá khứ nhưng đây là lần đầu tiên nó được ghi nhận sử dụng theo cách này.
Các chuyên gia cảnh báo rằng kỹ thuật này có thể tạo ra sự khác biệt lớn trong các chiến dịch lừa đảo và người dùng nên được cảnh báo về sự tồn tại của loại hình này.
Tấn công ZeroFont
Phương thức tấn công ZeroFont, được ghi nhận lần đầu tiên vào năm 2018, là một kỹ thuật lừa đảo khai thác các lỗ hổng khi các hệ thống AI và xử lý ngôn ngữ tự nhiên (NLP) của nền tảng bảo mật email phân tích văn bản.
Nó liên quan đến việc chèn các từ hoặc ký tự ẩn trong email bằng cách đặt kích thước phông chữ về 0, khiến mắt thường không thể nhìn thấy văn bản nhưng vẫn có thể được đọc bằng thuật toán NLP.
Kỹ thuật này được sử dụng nhằm né tránh các bộ lọc an ninh bằng cách chèn các thuật ngữ vô hình vô hại kết hợp với nội dung hiển thị đáng ngờ giúp đánh lừa AI và trả về kết quả kiểm tra sai lệch.
Trong báo cáo năm 2018, các chuyên gia cảnh báo rằng ZeroFont đã vượt qua Cơ chế bảo vệ mối đe dọa nâng cao (ATP) trong Office 365 của Microsoft ngay cả khi các email chứa các từ khóa độc hại đã biết.
Giả mạo thông báo quét virus
Trong một email lừa đảo sử dụng ZeroFont, tin tặc đã thao túng việc xem trước tin nhắn trên các ứng dụng email được sử dụng rộng rãi như Microsoft Outlook.
Cụ thể, email được đề cập đã hiển thị một thông điệp khác trong danh sách thư điện tử của Outlook so với khung xem trước.
notion image
Tin tặc đã sử dụng ZeroFont để ẩn thông báo quét giả mạo ở phần đầu email lừa đảo, do đó, mặc dù người nhận không nhìn thấy nhưng Outlook vẫn trích xuất và hiển thị dưới dạng bản xem trước trong danh sách email.
notion image
Bằng cách đưa ra một thông báo quét an ninh lừa đảo, khả năng mục tiêu mở tin nhắn và tương tác với nội dung đó sẽ tăng lên.
Rất có khả năng Outlook không phải là ứng dụng email duy nhất lấy phần đầu nội dung của email để hiển thị trong ngăn xem trước mà không kiểm tra xem kích thước phông chữ của nó có hợp lệ hay không, vì vậy, người dùng ứng dụng email khác cũng nên cảnh giác.
Nguồn 🔗 BleepingComputer

2. Các trang web Bitwarden giả mạo phát tán phần mềm độc hại ZenRAT đánh cắp mật khẩu

Các trang web Bitwarden giả mạo đang tung ra các trình cài đặt được cho là trình quản lý mật khẩu nguồn mở mang phần mềm độc hại đánh cắp mật khẩu mới mà các nhà nghiên cứu bảo mật gọi là ZenRAT.
Phần mềm độc hại được phân phối tới người dùng Windows thông qua các trang web bắt chước trang Bitwarden hợp pháp và dựa vào lỗi đánh máy để đánh lừa nạn nhân tiềm năng.
Tập trung vào người dùng Windows
Mục đích của ZenRAT là thu thập dữ liệu và thông tin xác thực của trình duyệt cùng với thông tin chi tiết về máy chủ bị nhiễm, một hành vi phù hợp với kẻ đánh cắp thông tin.
Tội phạm mạng có thể sử dụng thông tin chi tiết để tạo dấu vân tay của hệ thống bị xâm nhập, dấu vân tay này có thể được sử dụng để truy cập vào tài khoản như thể người dùng hợp pháp đã đăng nhập.
Các nhà nghiên cứu bảo mật tại công ty an ninh mạng Proofpoint đã phát hiện ra ZenRAT sau khi nhận được mẫu phần mềm độc hại từ Jérôme Segura, Giám đốc cấp cao về Tình báo mối đe dọa tại Malwarebytes vào tháng 8.
Điểm phân phối “rất giống với bitwarden.com thật một cách thuyết phục” với một tên miền được chọn cụ thể để đánh lừa khách truy cập tin rằng họ đang truy cập vào tài nguyên chính thức - bitwariden[.]com .
Trang web Bitwarden giả mạo ZenRAT
Trang web Bitwarden giả mạo ZenRAT
Bên trong gói cài đặt Bitwarden giả mạo, các nhà nghiên cứu của Proofpoint đã tìm thấy một tệp thực thi .NET độc hại là một trojan truy cập từ xa (RAT) với các tính năng đánh cắp thông tin mà họ hiện đang theo dõi dưới tên ZenRAT.
Trang web độc hại chỉ cung cấp gói Bitwarden giả mạo cho người dùng Windows, nếu không, nó sẽ chuyển hướng đến một trang của bài viết opensource.com về trình quản lý mật khẩu .
Khi cố tải xuống phiên bản Bitwarden cho Linux hoặc Mac, người dùng sẽ được chuyển hướng đến trang tải xuống chính thức của phần mềm,  ghi chú Proofpoint .
Trình cài đặt Bitwarden độc hại dành cho Windows được phân phối từ crazygameis[.]com , một URL giả mạo khác dành cho nền tảng chơi game dựa trên trình duyệt hợp pháp CrazyGames.
Nguồn phân phối tải trọng Bitwarden độc hại
Nguồn phân phối tải trọng Bitwarden độc hại
Các nhà nghiên cứu không biết làm thế nào các nạn nhân có thể truy cập vào trang Bitwarden giả mạo nhưng các chiến dịch lừa đảo thông qua quảng cáo của Google trước đây đã được sử dụng để nhắm mục tiêu cụ thể vào người dùng Bitwarden.
Đánh cắp dữ liệu, trốn tránh phân tích
Sau khi chạy, ZenRAT sử dụng truy vấn WMI và các công cụ hệ thống khác để thu thập dữ liệu về máy chủ, bao gồm:
  • Tên CPU
  • Tên GPU
  • Phiên bản của hệ điều hành
  • RAM đã cài đặt
  • Địa chỉ IP và Cổng
  • Đã cài đặt phần mềm Antivirus
  • Ứng dụng đã cài đặt
Các chi tiết ở trên được gửi đến máy chủ command and control (C2) (185.186.72[.]14) trong kho lưu trữ ZIP cũng bao gồm dữ liệu và thông tin xác thực được thu thập từ trình duyệt web.
Tuy nhiên, trước khi liên lạc với C2, ZenRAT đảm bảo rằng máy chủ không nằm trong khu vực bị hạn chế (Belarus, Kyrgyzstan, Kazakhstan, Moldova, Nga và Ukraine).
Phần mềm độc hại cũng kiểm tra xem nó đang chạy trên máy ảo hay hộp cát, một dấu hiệu cho thấy các nhà nghiên cứu đang phân tích nó.
Tuy nhiên, các nhà nghiên cứu cũng phát hiện ra một số thông tin lạ trong siêu dữ liệu của trình cài đặt, chẳng hạn như tự xưng là ứng dụng thông tin phần cứng Speccy, từ Piriform.
Một điểm đặc biệt khác là dữ liệu về người ký của trình cài đặt. Mặc dù chứng chỉ kỹ thuật số không hợp lệ nhưng trình cài đặt của ZenRAT liệt kê Tim Kosse, nhà phát triển phần mềm FileZilla FTP nguồn mở, là người ký.
Mặc dù có các chức năng dành riêng cho kẻ đánh cắp thông tin, Proofpoint đã tìm thấy bằng chứng cho thấy phần mềm độc hại được thiết kế theo mô-đun và khả năng của nó có thể được mở rộng; tuy nhiên, không có mô-đun nào khác được quan sát thấy trong tự nhiên.
Trình quản lý mật khẩu Bitwarden gần đây ngày càng phổ biến vì nó được coi là giải pháp thay thế tốt hơn cho các sản phẩm khác trên thị trường. Với cơ sở người dùng ngày càng tăng, phần mềm và người dùng của nó trở thành mục tiêu khi tội phạm mạng lợi dụng
Nguồn 🔗 BleepingComputer, TheHackerNews

3. Phần mềm độc hại Android Xenomorph chạy chiến dịch mới nhắm mục tiêu vào Hoa Kỳ

Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch mới phân phối phiên bản mới của phần mềm độc hại Xenomorph cho người dùng Android ở Hoa Kỳ, Canada, Tây Ban Nha, Ý, Bồ Đào Nha và Bỉ.
Các nhà phân tích tại công ty an ninh mạng ThreatFabric đã theo dõi hoạt động của Xenomorph kể từ tháng 2 năm 2022 và lưu ý rằng chiến dịch mới đã ra mắt vào giữa tháng 8.
Phiên bản mới nhất của Xenomorph đang nhắm mục tiêu đến người dùng ví tiền điện tử và các tổ chức tài chính khác nhau của Hoa Kỳ.
Xenomorph background
Xenomorph xuất hiện lần đầu tiên vào đầu năm 2022, hoạt động như một trojan ngân hàng nhắm mục tiêu vào 56 ngân hàng châu Âu thông qua lừa đảo lớp phủ màn hình. Nó được phân phối thông qua Google Play, nơi có hơn 50.000 lượt cài đặt.
Các tác giả của nó, "Hadoken Security", tiếp tục phát triển và vào tháng 6 năm 2022, họ đã phát hành một phiên bản viết lại giúp phần mềm độc hại có tính mô-đun và linh hoạt hơn.
Vào thời điểm đó, Xenomorph nằm trong top 10 trojan ngân hàng phổ biến nhất của Zimperium , vì vậy nó đã đạt được trạng thái "mối đe dọa lớn".
Vào tháng 8 năm 2022, ThreatFabric đã báo cáo rằng Xenomorph đang được phân phối thông qua một công cụ nhỏ giọt mới có tên là "BugDrop", bỏ qua các tính năng bảo mật trong Android 13 .
Vào tháng 12 năm 2022, cũng chính các nhà phân tích này đã báo cáo về một nền tảng phân phối phần mềm độc hại mới có tên là "Zombinder",  nền tảng này đã nhúng mối đe dọa vào tệp APK hợp pháp của các ứng dụng Android.
Gần đây nhất, vào tháng 3 năm 2023, Hadoken đã phát hành phiên bản chính thứ ba của Xenomorph , có hệ thống chuyển tự động (ATS) cho các giao dịch tự động trên thiết bị, bỏ qua MFA, đánh cắp cookie và khả năng nhắm mục tiêu hơn 400 ngân hàng.
Chiến dịch mới
Trong chiến dịch mới nhất, những kẻ điều hành phần mềm độc hại đã chọn sử dụng các trang lừa đảo, dụ khách truy cập cập nhật trình duyệt Chrome và lừa họ tải xuống APK độc hại.
Thông báo cập nhật Chrome giả mạo (ThreatFabric)
Thông báo cập nhật Chrome giả mạo (ThreatFabric)
Phần mềm độc hại tiếp tục sử dụng lớp phủ để đánh cắp thông tin. Tuy nhiên, hiện tại nó đã mở rộng phạm vi nhắm mục tiêu của mình để bao gồm các tổ chức tài chính từ Hoa Kỳ và nhiều ứng dụng tiền điện tử.
Cơ chế lớp phủ trong Xenomorph mới nhất  (ThreatFabric)
Cơ chế lớp phủ trong Xenomorph mới nhất  (ThreatFabric)
ThreatFabric giải thích rằng mỗi mẫu Xenomorph được tải khoảng một trăm lớp phủ nhắm mục tiêu vào các nhóm ngân hàng và ứng dụng tiền điện tử khác nhau, tùy thuộc vào đối tượng được nhắm mục tiêu.
Số mục tiêu nhìn thấy trong các mẫu gần đây (ThreatFabric)
Số mục tiêu nhìn thấy trong các mẫu gần đây (ThreatFabric)
“Chiến dịch mới nhất này cũng bổ sung thêm nhiều tổ chức tài chính từ Hoa Kỳ, cùng với nhiều ứng dụng ví tiền điện tử, tổng cộng hơn 100 mục tiêu khác nhau trên mỗi mẫu, mỗi mục tiêu sử dụng lớp phủ được chế tạo đặc biệt để đánh cắp PII quý giá từ thiết bị bị nhiễm của nạn nhân.” 
Trojan ngân hàng nhắm mục tiêu vào các tổ chức Hoa Kỳ (ThreatFabric)
Trojan ngân hàng nhắm mục tiêu vào các tổ chức Hoa Kỳ (ThreatFabric)
Phiên bản mới nhất
Mặc dù các mẫu Xenomorph mới không khác biệt nhiều so với các biến thể trước đó nhưng chúng có một số tính năng mới cho thấy tác giả của nó tiếp tục tinh chỉnh và nâng cao phần mềm độc hại.
Đầu tiên, tính năng "mimic" mới có thể được kích hoạt bằng một lệnh tương ứng, giúp phần mềm độc hại có khả năng hoạt động như một ứng dụng khác.
Ngoài ra, mô phỏng  một hoạt động tích hợp có tên IDLEActivity, hoạt động như một WebView để hiển thị nội dung web hợp pháp trong bối cảnh của một quy trình đáng tin cậy.
Hệ thống này thay thế nhu cầu ẩn các biểu tượng khỏi trình khởi chạy ứng dụng sau khi cài đặt, vốn bị hầu hết các công cụ bảo mật di động gắn cờ là hành vi đáng ngờ.
Hệ thống bắt chước mới của Xenomorph (ThreatFabric)
Hệ thống bắt chước mới của Xenomorph (ThreatFabric)
Một tính năng mới khác là "ClickOnPoint", cho phép người vận hành Xenomorph mô phỏng các thao tác nhấn ở tọa độ màn hình cụ thể.
Điều này cho phép người vận hành di chuyển qua các màn hình xác nhận hoặc thực hiện các hành động đơn giản khác mà không cần sử dụng mô-đun ATS đầy đủ, điều này có thể gây ra các cảnh báo bảo mật.
Cuối cùng, có một hệ thống "antisleep" mới ngăn thiết bị tắt màn hình bằng thông báo hoạt động.
Điều này rất hữu ích để kéo dài thời gian tương tác và tránh những gián đoạn đòi hỏi phải thiết lập lại liên lạc chỉ huy và kiểm soát.
Những phát hiện khác
Bằng cách tận dụng các biện pháp bảo mật yếu kém của kẻ điều hành phần mềm độc hại, các nhà phân tích của ThreatFabric có thể truy cập vào cơ sở hạ tầng lưu trữ tải trọng của họ.
Ở đó, họ phát hiện thêm các tải trọng độc hại, bao gồm các biến thể phần mềm độc hại Android Medusa và Cabassous, các phần mềm đánh cắp thông tin Windows RisePro và LummaC2 cũng như trình tải phần mềm độc hại Private Loader.
Người dùng nên thận trọng với lời nhắc cập nhật trình duyệt của mình vì đây có thể là một phần của chiến dịch phân phối phần mềm độc hại.
Việc phân phối Xenomorph cùng với phần mềm độc hại mạnh mẽ của Windows cho thấy sự hợp tác giữa các tác nhân đe dọa hoặc khả năng trojan Android được bán dưới dạng Phần mềm độc hại dưới dạng dịch vụ (MaaS).
Nguồn 🔗 BleepingComputer

4. Phần mềm độc hại Deadglyph stealthy và modular mới được sử dụng trong các cuộc tấn công của chính phủ

Một phần mềm độc hại backdoor mới và tinh vi có tên 'Deadglyph' đã được phát hiện được sử dụng trong một cuộc tấn công gián điệp mạng nhằm vào một cơ quan chính phủ ở Trung Đông.
Phần mềm độc hại Deadglyph được cho là của Stealth Falcon APT (còn gọi là Project Raven hoặc FruityArmor), một nhóm hack được nhà nước bảo trợ đến từ Các Tiểu vương quốc Ả Rập Thống nhất (UAE).
Nhóm hack này nổi  tiếng với việc nhắm mục tiêu vào  các nhà hoạt động, nhà báo và nhà bất đồng chính kiến trong gần một thập kỷ.
Trong một báo cáo mới được công bố tại hội nghị an ninh mạng LABScon, nhà nghiên cứu Filip Jurčacko của ESET chia sẻ phân tích về phần mềm độc hại mô-đun mới và cách nó lây nhiễm vào các thiết bị Windows.
Cuộc tấn công của Deadglyph
ESET không có hiểu biết sâu sắc về các phương tiện lây nhiễm ban đầu nhưng người ta nghi ngờ rằng một tệp thực thi độc hại, có thể là trình cài đặt chương trình, đã được sử dụng.
Tuy nhiên, ESET đã thu được hầu hết các thành phần của chuỗi lây nhiễm để vẽ ra bức tranh về cách phần mềm độc hại hoạt động và cố gắng trốn tránh sự phát hiện.
Chuỗi tải của Deadglyph bắt đầu bằng trình tải shellcode đăng ký (DLL) trích xuất mã từ sổ đăng ký Windows để tải thành phần Executor (x64), sau đó tải thành phần Orchestrator (.NET).
Chỉ thành phần ban đầu tồn tại trên đĩa của hệ thống bị xâm nhập dưới dạng tệp DLL, giảm thiểu khả năng bị phát hiện.
ESET cho biết trình tải sẽ tải shellcode từ Windows Register, mã này được mã hóa để khiến việc phân tích trở nên khó khăn hơn.
Vì thành phần DLL được lưu trữ trên hệ thống tập tin nên nó có nhiều khả năng bị phát hiện hơn. Do đó, những kẻ đe dọa đã sử dụng một cuộc tấn công homoglyph trong tài nguyên VERSIONINFO bằng cách sử dụng các ký tự Unicode tiếng Hy Lạp và Cyrillic riêng biệt để bắt chước thông tin của Microsoft và xuất hiện dưới dạng tệp Windows hợp pháp.
Báo cáo ESET giải thích: “Chúng tôi đã phát hiện một cuộc tấn công homoglyph bắt chước Microsoft Corporation trong tài nguyên VERSIONINFO của thành phần này và các thành phần PE khác”  .
"Phương pháp này sử dụng các ký tự Unicode riêng biệt trông giống nhau về mặt hình ảnh, nhưng trong trường hợp này không giống với các ký tự gốc, cụ thể là Greek Capital Letter San (U+03FA, Ϻ) và Cyrillic Small Letter O (U+043E, о) trong Microsoft Corporation.
Thành phần Executor tải các cấu hình được mã hóa AES cho backdoor, khởi tạo thời gian chạy .NET trên hệ thống, tải phần .NET của backdoor và hoạt động như thư viện của nó.
Cuối cùng, Orchestrator chịu trách nhiệm liên lạc với máy chủ command and control (C2), sử dụng hai module cho nhiệm vụ, 'Timer' và 'Network'.
Nếu backdoor không thiết lập liên lạc với máy chủ C2 sau một khoảng thời gian xác định, nó sẽ kích hoạt cơ chế tự loại bỏ để ngăn chặn việc phân tích của các nhà nghiên cứu và chuyên gia an ninh mạng.
Chuỗi tải Deadglyph (ESET)
Chuỗi tải Deadglyph (ESET)
Phần mềm độc hại modular
Phần mềm độc hại Deadglyph có dạng modular, nghĩa là nó sẽ tải xuống các module mới từ C2 chứa các shellcode khác nhau để thành phần Executor thực thi.
Việc sử dụng phương pháp modular cho phép kẻ đe dọa tạo ra các module mới khi cần thiết để điều chỉnh các cuộc tấn công, sau đó có thể đẩy xuống nạn nhân để thực hiện thêm chức năng độc hại.
Các module này có Windows và API Executor tùy chỉnh tùy ý sử dụng, sau này cung cấp 39 chức năng cho phép thực hiện các thao tác với tệp, tải tệp thực thi, truy cập Mạo danh mã thông báo cũng như thực hiện mã hóa và băm.
ESET tin rằng có chín đến mười bốn module khác nhau nhưng chỉ có thể có được ba mô-đun: trình tạo quy trình, trình thu thập thông tin và trình đọc tệp.
Trình thu thập thông tin sử dụng các truy vấn WMI để cung cấp cho Người soạn thảo các thông tin sau về hệ thống bị xâm nhập:
  • hệ điều hành
  • bộ điều hợp mạng
  • phần mềm đã cài đặt
  • ổ đĩa
  • dịch vụ
  • trình điều khiển
  • quy trình
  • người dùng
  • biến môi trường
  • phần mềm bảo mật
Trình tạo quy trình là một công cụ thực thi lệnh thực thi các lệnh được chỉ định dưới dạng một quy trình mới và cung cấp kết quả cho Bộ soạn thảo.
Module đọc tệp sẽ đọc nội dung của tệp và chuyển nó đến Bộ điều phối, đồng thời nó cũng cung cấp cho người vận hành tùy chọn xóa tệp sau khi đọc.
Mặc dù ESET chỉ có thể phát hiện ra một phần khả năng của phần mềm độc hại nhưng rõ ràng Deadglyph của Stealth Falcon là một mối đe dọa đáng gờm.
Nếu không có thông tin chi tiết về lần lây nhiễm ban đầu thì việc đưa ra các chiến lược phòng thủ cụ thể chống lại phần mềm độc hại là không thể.
Hiện tại, những người bảo vệ có thể dựa vào các IoC hiện có được phát hành trong báo cáo.
Nguồn 🔗 BleepingComputer

5. Exela Stealer tấn công người dùng Discord để đánh cắp thông tin đăng nhập

Những phần mềm đánh cắp dữ liệu nguồn mở đang nhanh chóng trở nên phổ biến nhờ tính linh hoạt của chúng, cung cấp cho các tác nhân đe dọa các công cụ trinh sát hữu ích cho các mục tiêu độc hại.
Những phần mềm đánh cắp dữ liệu nguồn mở có thể lén lút nếu được thiết kế và cấu hình hiệu quả, khiến chúng khó bị phát hiện.
Các hệ thống bảo mật có thể khó phát hiện các hành động có hại vì chúng thường hoạt động lặng lẽ, dựa vào các hoạt động hợp pháp và trộn lẫn với lưu lượng mạng thông thường.
Các nhà nghiên cứu an ninh mạng tại Cyble Research and Intelligence (CRIL) đã phát hiện ra tệp zip 'Exela-V2.0-main.rar' vào ngày 14 tháng 9, tiết lộ một stealer 'Exela' mới.
Vào ngày 17 tháng 8 năm 2023, mã nguồn được truy tìm đến kho lưu trữ GitHub và nhà nghiên cứu Yogesh Londhe ban đầu đã nhận thấy nó.
notion image
Trang GitHub
Exela Stealer tấn công người dùng Discord
Bằng cách sử dụng URL webhook của Discord , tiện ích Python Exela Stealer bí mật thu thập thông tin cá nhân, thu hút sự quan tâm đến việc phân tích kỹ lưỡng hoạt động và tác dụng của nó.
Trình xây dựng này chạy trên Python 3.10.0 hoặc 3.11.0 và tạo ra kẻ đánh cắp theo sở thích của tác nhân đe dọa.
Bảng điều khiển Builder của Exela Stealer
Bảng điều khiển Builder của Exela Stealer
Các tính năng được đề cập:
  • PumpFile
  • GetIcon
  • AntiVM
  • Discord Injection
  • Keylogger
  • Startup
  • Fake Error Message
  • Obfuscation
Stealer kiểm tra một mutex hiện có có tên ‘Exela | Stealer | on | Top.’ Nếu tìm thấy, nó sẽ dừng và in 'mutex already exists.' Nếu không, nó sẽ tiến hành đánh cắp dữ liệu bằng cách sử dụng thông báo lỗi giả mạo để đánh lạc hướng.
Thông báo lỗi giả mạo
Thông báo lỗi giả mạo
Stealer kiểm tra việc gỡ lỗi hoặc ảo hóa bằng cách thu thập UUID và tên máy tính, sau đó so sánh chúng với một danh sách được mã hóa cứng, chấm dứt nếu trùng khớp.
Kiểm tra Anti-debug
Kiểm tra Anti-debug
Ngoài ra, kẻ đánh cắp đã sử dụng nhiều phương pháp khác nhau để thực hiện những việc sau:
  • Phát hiện môi trường ảo
  • Kiểm tra tập tin
  • Kiểm tra chuỗi
  • Kiểm tra các quy trình
  • Đang tải các mô-đun được liên kết với nền tảng ảo hóa
Chức năng chống VM
Tất cả các chức năng Anti VM được sử dụng:
  • Vmcik
  • check_hostname
  • check_processes
  • CheckFiles
  • check_gdb
  • CheckHypervisor
  • Sandboxie()
Exela Stealer suy trì bằng cách ẩn mình trong 'C:\appdata\local\ExelaUpdateService' dưới dạng 'Exela.exe' với các thuộc tính hệ thống và ẩn.
Sau khi sao chép, kẻ đánh cắp sẽ tạo mục khởi động do người dùng chọn, sử dụng Windows Registry (regedit) hoặc Task Scheduler (schtasks) để duy trì.
Stealer sửa đổi các tệp máy khách Discord để cho phép truy cập trái phép và thu thập dữ liệu, sau đó thay thế mã bằng các nội dung chèn tùy chỉnh từ kho lưu trữ GitHub và gửi dữ liệu đến URL webhook của kẻ tấn công.
Hơn nữa, nó nhắm mục tiêu các loại trình duyệt web sau:
  • Chromium-based browsers
  • Firefox Browser
Stealer lưu dữ liệu đã thu thập vào một thư mục duy nhất, tập hợp một thông báo báo cáo chi tiết với các thành phần tùy chỉnh, gửi nó qua webhook Discord, sau đó xóa tệp ZIP và thư mục tạm thời.
Khuyến nghị
  • Đảm bảo luôn tải phần mềm từ những nguồn uy tín để tránh rủi ro.
  • Để chặn việc đánh cắp dữ liệu, hãy luôn theo dõi hoạt động truyền thông mạng.
  • Luôn sử dụng hệ thống bảo mật và công cụ AV mạnh mẽ.
  • Đảm bảo luôn cập nhật hệ thống và phần mềm đã cài đặt của bạn với các bản cập nhật và bản vá bảo mật mới nhất.
Nguồn 🔗 CyberSecurityNews

6. QR codes trong email lừa đảo

Mã QR có ở khắp mọi nơi: bạn có thể nhìn thấy chúng trên posters và tờ rơi, màn hình ATM, thẻ giá và hàng hóa, tòa nhà lịch sử và di tích. Mọi người sử dụng chúng để chia sẻ thông tin, quảng bá các tài nguyên trực tuyến khác nhau, trả tiền cho những món quà của họ và vượt qua quá trình xác minh. Tuy nhiên, bạn không thấy nhiều mã QR trong email: người dùng thường đọc tin nhắn trên điện thoại của họ mà không cần bất kỳ thiết bị nào khác để quét. Như vậy, hầu hết các chữ cái đều đi kèm với các siêu liên kết thông thường. Tuy nhiên, những kẻ tấn công ngày càng chuyển sang mã QR được gửi qua email.
Không giống như các liên kết lừa đảo dễ kiểm tra và chặn, mã QR lại là vấn đề đau đầu đối với các giải pháp bảo mật. Cần có công nghệ thị giác máy tính tốn kém và tốn nhiều tài nguyên để phân tích mã QR và tìm hiểu xem chúng chứa thông tin gì. Tệ hơn nữa, trong khi một liên kết thông thường có thể được sắp xếp chỉ bằng cách nhìn vào nó, thì với QR, bạn không thể biết nó sẽ đưa bạn đến đâu cho đến khi bạn quét nó.
Mã QR là gì?
Mã QR hoặc mã Quick Response là mã vạch ma trận 2D bao gồm một số hình vuông và nhiều dấu chấm (modules) được sắp xếp theo mô hình vuông trên nền trắng. Mã QR có thể được quét bằng thiết bị xử lý hình ảnh. Đầu tiên nó sẽ xác định vị trí của mã bằng các ô vuông và sau đó đọc thông tin được mã hóa bằng các dấu chấm. Ngoài mã thực tế, trường hình vuông có thể chứa các yếu tố trang trí, chẳng hạn như logo công ty.
Mã QR cho phép mã hóa nhiều dữ liệu hơn mã vạch 1D. Chúng thường được sử dụng để mã hóa các siêu liên kết đến nhiều tài nguyên khác nhau, chẳng hạn như danh mục cửa hàng, trang thanh toán hoặc trang thông tin tòa nhà.
Việc sử dụng mã QR trong email có mục đích xấu
Kẻ lừa đảo sử dụng mã QR để mã hóa liên kết đến các trang lừa đảo và lừa đảo. Những nỗ lực đầu tiên sử dụng thủ thuật này cho các chiến dịch email lừa đảo vào cuối năm 2021. Đó là những tin nhắn lừa đảo bắt chước email từ các dịch vụ chuyển phát, chẳng hạn như FedEx và DHL. Các nạn nhân sẽ bị lừa nộp thuế hải quan bằng cách quét mã QR. Liên kết được mã hóa đang chuyển hướng đến trang nhập dữ liệu thẻ ngân hàng giả mạo. Chiến dịch có quy mô không lớn lắm và giảm dần vào khoảng giữa năm 2022. Các chiến dịch email mới có mã QR vào mùa xuân năm 2023. Không giống như chiến dịch đầu tiên, các chiến dịch này diễn ra sau thông tin đăng nhập và mật khẩu của người dùng doanh nghiệp đối với các sản phẩm của Microsoft.
Những kẻ tấn công đã phát tán các tin nhắn thông báo cho nạn nhân rằng mật khẩu tài khoản email công ty của họ sắp hết hạn. Để duy trì quyền truy cập vào tài khoản của họ, người dùng phải quét mã QR. Một số email sẽ đến từ các địa chỉ thư miễn phí, một số khác đến từ các miền được đăng ký gần đây. Trong một số tin nhắn, những kẻ lừa đảo đã thêm logo Microsoft Security vào mã QR để nâng cao độ tin cậy.
Email lừa đảo có mã QR
Email lừa đảo có mã QR
Sau khi nhận được thư lừa đảo và quét mã, người dùng sẽ được chuyển hướng đến một trang đăng nhập giả mạo được tạo kiểu như trang đăng nhập Microsoft. Ngay sau khi nhập thông tin đăng nhập và mật khẩu, những kẻ tấn công sẽ có quyền truy cập vào tài khoản.
Hình thức lừa đảo
Hình thức lừa đảo
Ngoài các thông báo kêu gọi người dùng thay đổi mật khẩu hoặc cập nhật dữ liệu cá nhân của họ, phát hiện một hoạt động thông báo qua email chưa được gửi cũng sử dụng mã QR chuyển hướng đến trang đăng nhập tài khoản Microsoft giả mạo.
Bức thư hiển thị trong ảnh chụp màn hình bên dưới không có logo mã QR nhưng có dòng “Email này đến từ một nguồn đáng tin cậy” để khiến người dùng mất cảnh giác.
Thông báo email chưa được gửi
Thông báo email chưa được gửi
Một số trang có thể thấy khi quét mã QR nằm trên tài nguyên IPFS. Trước đây đã giải thích cách thức và lý do những kẻ lừa đảo sử dụng hệ thống tệp phân tán này.
Sử dụng IPFS trong lừa đảo QR
Sử dụng IPFS trong lừa đảo QR
Số liệu thống kê
Từ tháng 6 đến tháng 8 năm 2023, đã phát hiện 8.878 email lừa đảo có chứa mã QR. Hoạt động ác ý đạt đỉnh điểm vào tháng 6 với 5.063 lá thư, đến tháng 8 giảm xuống còn 762 lá thư.
Xu hướng số lượng email lừa đảo có mã QR trong tháng 6-8 năm 2023 ( tải xuống )
Những kẻ lừa đảo được hưởng lợi từ việc sử dụng mã QR theo một số cách. Đầu tiên, mã cho phép họ tránh bị phát hiện và chặn email. Việc kiểm tra nội dung mã QR không phải là điều dễ dàng và không có liên kết lừa đảo nào trong tin nhắn. Hơn nữa, một lá thư không thể bị chặn chỉ vì có mã QR bên trong: mặc dù không phải là thành phần email phổ biến, mã QR cũng có thể được sử dụng trong thư từ hợp pháp, chẳng hạn như trong chữ ký tự động của người gửi. Thứ hai, vì tin nhắn không chứa liên kết nên không cần phải đăng ký thêm tài khoản hoặc tên miền để chuyển hướng người dùng và do đó che giấu hành vi lừa đảo. Cuối cùng, hầu hết người dùng quét mã QR bằng camera trên điện thoại thông minh của họ và muốn giải quyết vấn đề càng nhanh càng tốt. Kết quả là họ có thể bỏ qua dòng địa chỉ của trang mà họ đang được chuyển hướng đến,
Mặt khác, những người gửi hợp pháp hầu như không bao giờ sử dụng mã QR trong thư gửi của họ, do đó, chỉ sự hiện diện của mã QR trong email cũng có thể gây ra sự nghi ngờ. Hơn nữa, việc quét mã QR yêu cầu một thiết bị khác và người dùng có thể không có sẵn thiết bị đó. Hiện tại, chúng tôi không quan sát thấy nhiều chiến dịch nhắn tin dựa trên mã QR. Chúng tôi cho rằng không có nhiều người nhận thực sự quét mã. Tuy nhiên, xem xét mức độ dễ dàng sử dụng cơ chế này, chúng ta cũng có thể dự đoán các cuộc tấn công như vậy sẽ gia tăng trong thời gian tới, bản thân các chiến dịch sẽ trở nên phức tạp hơn và được điều chỉnh phù hợp với các mục tiêu cụ thể.
Nguồn 🔗 SecureList

7. Khóa SSH bị đánh cắp bởi luồng gói PyPI và npm độc hại

Một luồng gói npm và PyPi độc hại đã bị phát hiện đánh cắp nhiều loại dữ liệu nhạy cảm từ các nhà phát triển phần mềm trên nền tảng.
Chiến dịch bắt đầu vào ngày 12 tháng 9 năm 2023 và được  phát hiện lần đầu tiên bởi Sonatype , người mà các nhà phân tích đã phát hiện ra 14 gói độc hại trên npm.
Phylum báo cáo rằng sau một thời gian ngắn hoạt động vào ngày 16 và 17 tháng 9, cuộc tấn công đã tiếp tục và mở rộng sang hệ sinh thái PyPI.
Kể từ khi bắt đầu chiến dịch, những kẻ tấn công đã tải lên 45 gói trên npm (40) và PyPI (5), với các biến thể trong mã cho thấy sự phát triển nhanh chóng của cuộc tấn công.
Gói độc hại
Danh sách đầy đủ các gói độc hại được phát tán trong chiến dịch này ở phần cuối  báo cáo của Phylum .
Tuy nhiên, cần lưu ý rằng các gói sau sử dụng tính năng đánh máy để giống với các gói phổ biến hợp pháp, có thể lừa các nhà phát triển cài đặt chúng:
  • Shineout và @dynamic-form-comComponents/shineout – bắt chước thư viện React phổ biến "Shineout"
  • apm-web-vitals – có thể chuyển thành "APM" (giám sát hiệu suất ứng dụng) cho thư viện "web-vitals" của Google để đo hiệu suất web
  • eslint-plugin-shein-soc-raw và @spgy/eslint-plugin-spgy-fe - giả vờ là plugin ESLint
  • ssc-concurrent-log-handler & sc-concurrent-log-handler - giả vờ là các tiện ích ghi nhật ký hợp pháp
Theo Phylum, ít nhất bảy đợt tấn công riêng biệt và một số giai đoạn có sửa đổi mã để tăng cường khả năng tàng hình và thêm mục tiêu cụ thể hơn.
Đợt tấn công đầu tiên xảy ra trong khoảng thời gian từ ngày 12 đến ngày 15 tháng 9, với việc các tác nhân đe dọa tải lên các bộ gói mới hàng ngày, đạt tổng số 33 gói.
Các đợt tấn công sau đó xảy ra vào ngày 18/9 (ba gói), ngày 20/9 (năm gói) và ngày 24/9 (4 gói).
Trong các đợt đầu tiên, các gói có quy trình thu thập và lọc dữ liệu được mã hóa cứng, chứa mã thu thập dữ liệu ở dạng văn bản thuần túy bên trong, khiến chúng dễ bị phát hiện.
Các lần lặp ở giữa đã giới thiệu các cơ chế phức tạp hơn như truy xuất và thực thi tập lệnh bash thu thập dữ liệu từ một miền bên ngoài.
Truy xuất tập lệnh bash từ nguồn bên ngoài (Phylum)
Truy xuất tập lệnh bash từ nguồn bên ngoài (Phylum)
Ngoài ra, các tác giả đã thêm một hook "preinstall" để tự động chạy JavaScript độc hại khi cài đặt.
Các gói gần đây nhất sử dụng mã hóa base64 để trốn tránh phân tích, sau đó được nâng cấp lên mã hóa base64 kép.
Nhìn chung, những kẻ tấn công đã tham gia vào quá trình sàng lọc và kiểm tra mã liên tục, thậm chí còn phân phối các gói chuyên về một số khía cạnh thu thập dữ liệu hơn các gói khác.
Mối đe dọa đánh cắp thông tin
Dữ liệu bị đánh cắp bởi các gói bao gồm thông tin người dùng và máy nhạy cảm.
Thông tin chi tiết về máy và người dùng được thu thập bao gồm tên máy chủ, tên người dùng, đường dẫn hiện tại, phiên bản hệ điều hành, địa chỉ IP bên ngoài và bên trong cũng như phiên bản Python cho các gói PyPI.
Các chi tiết này và cấu hình Kubernetes được lưu trữ trên tệp kubeconfig và khóa riêng SSH trong ~/.ssh/id_rsa được ghi trong tệp văn bản (ConceptualTest.txt) và gửi đến máy chủ của kẻ tấn công.
Nội dung của tập lệnh bash (Phylum)
Nội dung của tập lệnh bash (Phylum)
Thông tin bị đánh cắp có thể được sử dụng để tiết lộ danh tính thực của nhà phát triển và cung cấp cho kẻ tấn công quyền truy cập trái phép vào hệ thống, máy chủ hoặc cơ sở hạ tầng có thể truy cập thông qua khóa riêng SSH bị đánh cắp.
Nếu cấu hình Kubernetes bị đánh cắp chứa thông tin xác thực để truy cập các cụm, kẻ tấn công có thể sửa đổi quá trình triển khai, thêm vùng chứa độc hại, truy cập dữ liệu nhạy cảm được lưu trữ trong cụm, di chuyển sang một bên hoặc khởi động một cuộc tấn công bằng ransomware.
Người dùng các nền tảng phân phối mã như PyPI và npm được khuyên nên thận trọng với những gói họ tải xuống và khởi chạy trên hệ thống của mình, vì các phần mềm độc hại liên tục tràn vào các hệ sinh thái đó.
Nguồn 🔗 BleepingComputer