Một biến thể mã độc đánh cắp thông tin mới có tên NWHStealer đang âm thầm xâm nhập vào các hệ thống Windows. Chiến dịch này được ngụy trang tinh vi, sử dụng các trang web VPN giả mạo, mod game và công cụ tiện ích phần cứng làm mồi nhử.
Kẻ tấn công không dựa vào email spam hay các chiêu trò lừa đảo rõ ràng. Thay vào đó, chúng cài đặt mã độc vào các tệp mà người dùng tự tìm kiếm và tải xuống. Điều này khiến việc phát hiện trở nên khó khăn hơn nhiều so với hầu hết các chiến dịch khác.
Phương thức phát tán đa dạng của NWHStealer
Chiến dịch phân phối mã độc NWHStealer bao gồm nhiều phương pháp. Chúng lan truyền qua các trang web giả mạo các dịch vụ đáng tin cậy. Các nền tảng lưu trữ mã nguồn như GitHub và GitLab cũng bị lợi dụng.
Ngoài ra, các trang chia sẻ tệp như MediaFire và SourceForge cũng là kênh phát tán. Thậm chí, mã độc còn được chèn vào các video YouTube liên quan đến game và bảo mật có chứa liên kết độc hại.
Ngụy trang tinh vi
NWHStealer ngụy trang dưới dạng phần mềm mà người dùng thực sự cần. Điều này bao gồm trình cài đặt VPN giả mạo.
Nó còn giả dạng các công cụ chẩn đoán phần cứng như OhmGraphite, Pachtop và Sidebar Diagnostics. Các bản hack và mod game phổ biến như Xeno cũng được sử dụng làm vỏ bọc.
Phạm vi tiếp cận rộng rãi trên các nền tảng đáng tin cậy này làm cho chiến dịch trở nên đặc biệt nguy hiểm.
Các nhà phân tích tại Malwarebytes đã theo dõi nhiều chiến dịch đang hoạt động phân phối NWHStealer. Họ ghi nhận rằng stealer có thể được tải thông qua cơ chế tự tiêm (self-injection).
Hoặc nó có thể được tiêm vào các tiến trình Windows hợp pháp như RegAsm. Đây là công cụ Đăng ký Assembly của Microsoft.
Các nhà nghiên cứu tại Malwarebytes cũng quan sát thấy rằng các trình bao bọc bổ sung như gói MSI và Node.js thường được sử dụng làm trình tải ban đầu trước khi payload thực tế được chuyển giao.
Một phương pháp phân phối bất thường trong chiến dịch này là việc sử dụng nhà cung cấp dịch vụ lưu trữ web miễn phí tại onworks[.]net. Trang web này, nằm trong top 100.000 trang web toàn cầu, đã bị phát hiện lưu trữ các tệp ZIP độc hại trong phần tải xuống của nó.
Các tệp có tên như HardwareVisualizer_1.3.1.zip và Sidebar Diagnostics-3.6.5.zip trông hoàn toàn hợp pháp. Tuy nhiên, chúng chứa mã độc nhúng bắt đầu chuỗi lây nhiễm ngay khi người dùng chạy tệp thực thi bên trong.
Tác động và Dữ liệu bị đánh cắp bởi NWHStealer
Theo báo cáo được biên soạn bởi Kỹ sư Nghiên cứu Mã độc Gabriele Orini tại Malwarebytes, một khi mã độc xâm nhập thành công vào hệ thống nạn nhân, nó có khả năng thu thập dữ liệu trình duyệt, mật khẩu đã lưu và thông tin ví tiền điện tử. Kẻ tấn công có thể sử dụng những thông tin này để chiếm đoạt tài khoản, rút tiền hoặc thực hiện các cuộc tấn công tiếp theo.
Hậu quả ngay lập tức đối với nạn nhân là nghiêm trọng. NWHStealer liệt kê hơn 25 thư mục và khóa registry liên quan đến ví tiền điện tử. Nó cũng nhắm mục tiêu vào các trình duyệt như Edge, Chrome, Opera, Brave, Chromium và Firefox để trích xuất thông tin đăng nhập đã lưu và dữ liệu phiên.
Thông tin bị đánh cắp được mã hóa bằng thuật toán AES-CBC trước khi được gửi đến máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công.
Nếu máy chủ C2 chính bị ngoại tuyến, mã độc sẽ truy xuất một tên miền C2 mới thông qua cơ chế dead drop dựa trên Telegram. Điều này đảm bảo hoạt động vẫn được duy trì ngay cả khi cơ sở hạ tầng thay đổi.
Bạn có thể tham khảo thêm chi tiết về chiến dịch này tại báo cáo của Malwarebytes.
Cơ chế hoạt động kỹ thuật của NWHStealer
Cách NWHStealer đạt đến giai đoạn cuối cùng là phân lớp kỹ thuật và được xây dựng để tránh bị phát hiện ở mọi bước. Đây là một tấn công mạng có nhiều lớp.
Giai đoạn tải ban đầu và chống phân tích
Trong trường hợp được quan sát đầu tiên, mã độc được nhúng trực tiếp bên trong một tệp thực thi trông hợp pháp như HardwareVisualizer.exe.
Khi được khởi chạy, trình tải này thực hiện một số hoạt động theo trình tự:
- Kiểm tra các công cụ phân tích và tự tắt nếu phát hiện.
- Sử dụng hàm giải mã tùy chỉnh để xử lý chuỗi.
- Giải quyết các hàm API của Windows thông qua
LoadLibraryAvàGetProcAddress. - Cuối cùng, giải mã và tải payload giai đoạn tiếp theo bằng AES-CBC thông qua các API BCrypt.
Mã rác (junk code) được đóng gói có chủ đích vào trình tải để làm chậm quá trình phân tích và gây nhầm lẫn cho các công cụ tự động.
Kỹ thuật DLL Hijacking và Process Hollowing
Trong trường hợp được quan sát thứ hai, các trang web Proton VPN giả mạo phân phối một tệp ZIP độc hại sử dụng kỹ thuật DLL hijacking để thực thi stealer. Tại đây, một tệp dường như là tệp thực thi WinRAR chứa một thư viện độc hại có tên WindowsCodecs.dll.
Thư viện này giải mã hai tài nguyên được nhúng. Một trong những tài nguyên đó là DLL giai đoạn thứ hai có tên runpeNew.dll.
DLL này thực hiện process hollowing bằng cách tiêm payload cuối cùng vào một tiến trình Windows đang chạy như RegAsm.exe. Việc tiêm này sử dụng các API cấp thấp bao gồm NtProtectVirtualMemory và NtAllocateVirtualMemory.
Cơ chế bền vững và Vượt qua UAC
Một khi đã nằm trong hệ thống, DLL được tiêm sử dụng PowerShell để tạo các thư mục ẩn trong LOCALAPPDATA. Sau đó, nó thêm các thư mục này vào danh sách loại trừ của Windows Defender và buộc cập nhật Group Policy để khóa các thay đổi của nó.
# Ví dụ lệnh PowerShell để tạo thư mục ẩn và thêm vào loại trừ Defender (minh họa)
$mal_dir = "$env:LOCALAPPDATA\"
New-Item -ItemType Directory -Path $mal_dir -Force
Set-ItemProperty -Path $mal_dir -Name Attributes -Value ([System.IO.FileAttributes]::Hidden)
Add-MpPreference -ExclusionPath $mal_dir
gpupdate /force Các tác vụ đã lên lịch cũng được tạo để chạy payload khi người dùng đăng nhập với đặc quyền nâng cao. Điều này giúp mã độc có được chỗ đứng bền vững trong hệ thống.
Để vượt qua Kiểm soát Tài khoản Người dùng (UAC), stealer sử dụng kỹ thuật vượt qua UAC CMSTP đã biết. Nó tạo một tệp .inf ngẫu nhiên trong thư mục tạm thời và sử dụng cmstp.exe để nâng cao đặc quyền mà không kích hoạt lời nhắc hiển thị.
Chỉ số thỏa hiệp (IOCs)
Dưới đây là một số chỉ số thỏa hiệp (IOCs) được trích xuất từ chiến dịch của NWHStealer:
- Các nền tảng phân phối bị lợi dụng:
- Trang web giả mạo VPN.
- GitHub, GitLab.
- MediaFire, SourceForge.
- Các video YouTube chứa liên kết độc hại.
- Tên miền liên quan:
onworks[.]net(được sử dụng để lưu trữ các tệp độc hại).- Các tên miền C2 động được truy xuất qua Telegram-based dead drop.
- Tên tệp và ngụy trang độc hại:
HardwareVisualizer_1.3.1.zipSidebar Diagnostics-3.6.5.zipHardwareVisualizer.exe(trình tải ban đầu)WindowsCodecs.dll(DLL độc hại trong kỹ thuật DLL hijacking)runpeNew.dll(DLL giai đoạn 2 thực hiện process hollowing)- Các tệp
.infngẫu nhiên được tạo để vượt qua UAC.
- Tiến trình bị nhắm mục tiêu để tiêm mã:
RegAsm.exe
- Kỹ thuật vượt qua UAC:
- Kỹ thuật CMSTP (sử dụng
cmstp.exe).
- Kỹ thuật CMSTP (sử dụng
- API Windows liên quan:
LoadLibraryA,GetProcAddress(để giải quyết API).- Các API BCrypt (để giải mã AES-CBC).
NtProtectVirtualMemory,NtAllocateVirtualMemory(để process hollowing).
Biện pháp phòng ngừa
Để giảm thiểu rủi ro tiếp xúc với chiến dịch này và các rủi ro bảo mật tương tự, người dùng nên áp dụng các biện pháp phòng ngừa sau:
- Luôn tải phần mềm từ các trang web chính thức của nhà cung cấp.
- Cẩn trọng với các liên kết và tệp tải xuống từ các nguồn không xác định hoặc đáng ngờ.
- Sử dụng giải pháp bảo mật đáng tin cậy và đảm bảo nó luôn được cập nhật.
- Thường xuyên sao lưu dữ liệu quan trọng.
- Kích hoạt xác thực đa yếu tố (MFA) cho tất cả các tài khoản trực tuyến.
- Cập nhật hệ điều hành và phần mềm định kỳ để nhận bản vá bảo mật mới nhất.
- Nâng cao nhận thức về các kỹ thuật lừa đảo và ngụy trang mã độc.
