Nhóm tình báo mối đe dọa nâng cao Knownsec 404 đã phát hiện hoạt động gia tăng của nhóm tội phạm mạng Silver Fox, nhóm này sử dụng các phiên bản giả mạo của các chương trình phổ biến để phát tán mã độc Winos RAT trong bối cảnh mối đe dọa mạng phức tạp.
Các cuộc tấn công mạng này, xuất hiện từ năm 2024, thường ngụy trang dưới giao diện của các ứng dụng hợp pháp. Chúng sử dụng kỹ thuật chuyển hướng JavaScript lừa đảo, kích hoạt khi người dùng tương tác trên trang lừa đảo.
Sau khi tương tác, một cảnh báo giả mạo yêu cầu cập nhật Adobe Flash Player lỗi thời sẽ hiện ra, buộc người dùng tải xuống một trình cài đặt độc hại. Khi được thực thi, payload sẽ xâm nhập vào hệ thống đích, cho phép điều khiển từ xa và đánh cắp dữ liệu.
Chiến Thuật Lây Nhiễm và Phát Tán Mã Độc
Kỹ thuật Giả Mạo và Đánh Cắp
Chiến thuật của nhóm Silver Fox không chỉ dừng lại ở các công cụ dịch thuật. Chúng còn kết hợp đầu độc tối ưu hóa công cụ tìm kiếm (SEO poisoning) và tạo các trang web giả mạo các tổ chức quốc gia.
Mục tiêu là làm ô nhiễm hệ sinh thái internet Trung Quốc bằng các bản tải xuống chứa Trojan. Chuỗi tấn công điển hình bao gồm việc lừa nạn nhân đến các trang web mồi nhử thông qua kết quả tìm kiếm bị đầu độc hoặc email lừa đảo.
Sau đó, các trình cài đặt sẽ triển khai mã độc Winos RAT, một thành phần cốt lõi của họ mã độc Silver Fox. Từ khi xuất hiện vào năm 2022, nhóm Silver Fox đã phát triển từ một thực thể đơn lẻ thành một họ mã độc năng động.
Sự phát triển này được thúc đẩy bởi việc rò rỉ mã nguồn của Winos 4.0 trong giới tội phạm mạng. Điều này đã cho phép tội phạm mạng và các nhóm đe dọa dai dẳng nâng cao (APT) tái sử dụng mã nguồn cho nhiều chiến dịch khác nhau.
Chúng phân phối mã độc qua email, tin nhắn tức thời và các cổng tải xuống giả mạo. Các khám phá gần đây bao gồm các tên miền lừa đảo mạo danh Google Translate, các công cụ chuyển đổi tiền tệ, và thậm chí cả trang web chính thức của WPS Office.
Các script được nhúng trong các trang này tạo điều kiện chuyển hướng liền mạch đến các máy chủ do kẻ tấn công kiểm soát, nơi lưu trữ các trình cài đặt MSI hoặc EXE.
Để biết thêm chi tiết về chiến dịch tấn công này, tham khảo phân tích từ Knownsec 404 Team.
Phân Tích Kỹ Thuật Mã Độc Winos RAT
Quy Trình Lây Nhiễm Đa Giai Đoạn
Phân tích kỹ thuật của Trojan Silver Fox cho thấy một quy trình lây nhiễm đa giai đoạn. Ví dụ, gói MSI giải phóng một bộ tệp, bao gồm aicustact.dll.
Tệp này tải động các payload được kẻ tấn công chỉ định từ một bảng thuộc tính (Property table). Đồng thời, một script update.bat thực thi các quy trình cài đặt hợp pháp trong khi âm thầm khởi chạy các thành phần độc hại.
Khả năng duy trì sự hiện diện được đạt được thông qua javaw.exe, quá trình này tiêm Microsoftdata.exe (một tệp nhị phân biên dịch bằng Golang, bắt chước danh pháp chính thức của Microsoft) vào sổ đăng ký Windows để tự động khởi động.
Tệp thực thi này giải mã và thực thi shellcode từ một tệp Xps.dtd được nhúng. Tệp Xps.dtd này sau đó tải một tệp thực thi di động (PE) mang chuỗi PDB như “RexRat4.0.3”, cuối cùng kích hoạt mã độc Winos RAT.
Tính Năng và Khả Năng Gián Điệp của Winos RAT
Mã độc Winos RAT tự hào có các plugin mô-đun cho mục đích gián điệp nâng cao. Chúng bao gồm khả năng chụp ảnh màn hình theo thời gian thực, ghi lại thao tác gõ phím (keystroke logging) và thu thập dữ liệu clipboard.
Những tính năng này cấp cho kẻ tấn công quyền kiểm soát chi tiết đối với các điểm cuối bị xâm nhập. Mở rộng phạm vi điều tra, các nhà nghiên cứu đã xác định các mồi nhử bổ sung.
Các mồi nhử này bao gồm các trình cài đặt giả mạo như Easy Translation, Youdao Translation, Bit Browser và LetsVPN, tất cả đều dẫn nạn nhân đến việc triển khai mã độc Winos RAT.
Tính mô-đun này nhấn mạnh khả năng thích ứng của Silver Fox. Những kẻ gây án liên tục lặp lại các kỹ thuật né tránh như che dấu mã (code obfuscation), chữ ký số giả mạo, và bỏ qua các sandbox đám mây để tối đa hóa tỷ lệ lây nhiễm với chi phí tối thiểu.
Tác Động và Biện Pháp Phòng Ngừa
Các nhóm APT, bao gồm cả Golden Eye Dog, đã tái sử dụng các công cụ này cho các cuộc xâm nhập có mục tiêu. Điều này làm tăng rủi ro đối với quyền riêng tư cá nhân và tính toàn vẹn dữ liệu của doanh nghiệp trong không gian kỹ thuật số Trung Quốc.
Silver Fox đại diện cho một cụm mã độc tràn lan, làm xói mòn lòng tin của người dùng vào các ứng dụng hàng ngày. Để giảm thiểu rủi ro, người dùng cần xác minh nguồn một cách nghiêm ngặt, ưu tiên các bản tải xuống chính thức, và duy trì các tư thế bảo mật được cập nhật.
Việc tăng cường cảnh giác là rất quan trọng để chống lại những mối đe dọa mạng phổ biến này.
