Một chiến dịch tấn công lừa đảo tinh vi đang nhắm mục tiêu vào người dùng, giả mạo mã độc tống tiền dưới dạng ghi nợ thuế GST thông thường. Cuộc tấn công này triển khai một công cụ truy cập từ xa mạnh mẽ có tên Remcos RAT thông qua một bộ tải nhiều giai đoạn được xây dựng khéo léo, mang lại cho kẻ tấn công quyền kiểm soát sâu sắc và bền vững đối với các hệ thống bị nhiễm.
Chiến dịch Lừa đảo Tinh vi
Các nhà phân tích tại K7 Security Labs đã xác định chiến dịch này trong quá trình giám sát dữ liệu viễn trắc định kỳ, phát hiện một dấu hiệu bất thường liên quan đến tệp đáng ngờ.
Theo một báo cáo được chia sẻ, K7 Security Labs đã ghi nhận rằng lỗ hổng CVE này có thể bị khai thác bởi biến thể Remcos RAT. Nó được phân phối thông qua một chiến dịch lừa đảo dưới dạng tệp đính kèm lưu trữ.
Các nhà nghiên cứu nhấn mạnh rằng chuỗi lây nhiễm này hoàn toàn dựa vào kỹ thuật thực thi trong bộ nhớ, khiến việc phát hiện trở nên khó khăn hơn nhiều so với các phương pháp phân phối mã độc dựa trên đĩa truyền thống.
Giai đoạn Ban đầu của Cuộc tấn công
Cuộc tấn công bắt đầu khi người dùng nhận được một email lừa đảo chứa tệp đính kèm lưu trữ độc hại. Sau khi giải nén, tệp này sẽ tạo ra một tệp có tên “GST Debit Note Apr_26.com”, hóa ra là một tệp thực thi .NET 32-bit.
Tệp này vừa được đóng gói vừa không có chữ ký. Nó chứa các thành phần tiếng Thổ Nhĩ Kỳ nhúng, đồng thời giả dạng như một trò chơi xây dựng gạch hợp pháp để trông hoàn toàn vô hại.
Ứng dụng đánh lừa được thiết kế để chạy âm thầm trong nền ngay sau khi khởi chạy, giảm thiểu khả năng nạn nhân trở nên nghi ngờ về những gì đang xảy ra.
Kỹ thuật Tránh Phát hiện
Chuỗi tấn công được phân lớp cẩn thận và thiết kế đặc biệt để vượt qua hầu hết các công cụ bảo mật thông thường.
Mã độc ẩn các thành phần giai đoạn tiếp theo của nó bên trong các phần tài nguyên của tệp thực thi bằng kỹ thuật mã hóa ẩn hình (steganography). Dữ liệu tải trọng được nhúng trong một đối tượng .NET Bitmap được tuần tự hóa.
Cách tiếp cận này che giấu hiệu quả nội dung độc hại và làm cho việc phân tích tĩnh trở nên khó khăn hơn đáng kể đối với các nhà nghiên cứu bảo mật để thực hiện một cách chính xác. Đây là một ví dụ về mối đe dọa mạng nguy hiểm.
Chi Tiết Kỹ Thuật của Bộ Tải và Remcos RAT
Thành phần đầu tiên được giải nén là một DLL có tên Optimax.dll, được tải trực tiếp vào bộ nhớ mà không cần chạm vào đĩa.
DLL này sau đó gọi một bộ tải giai đoạn hai có tên “System Optimizer Ultimate.dll”, lần lượt thả tải trọng Remcos RAT cuối cùng, cũng hoàn toàn trong bộ nhớ.
Remcos sau đó sử dụng kỹ thuật process hollowing để chạy dưới tên tiến trình của trình duyệt mặc định của nạn nhân, hòa trộn mượt mà vào hoạt động hệ thống bình thường và tránh bị phát hiện. Xem thêm về các kỹ thuật che giấu tương tự tại Cyber Security News.
Hoạt động của Remcos RAT
Khi Remcos chạy, nó nhanh chóng thiết lập một chỗ đứng vững chắc trên máy bị nhiễm.
Nó tạo một bản sao ẩn của chính nó bên trong thư mục AppData Roaming dưới một tên ngẫu nhiên và thiết lập một khóa đăng ký Run để nó tự động khởi chạy mỗi khi nạn nhân đăng nhập vào hệ thống.
Một mutex có tên “Remcos_Mutex_Inj” cũng được tạo ra trong quá trình thực thi, trực tiếp xác nhận sự hiện diện tích cực của RAT trên thiết bị bị xâm phạm.
Các Chức Năng Độc Hại và Lỗ hổng Bảo mật Liên quan
Mã độc kiểm tra các môi trường sandbox và máy ảo trước khi tiếp tục và bỏ qua User Account Control (UAC) bằng cách sử dụng eventviewer.exe. Điều này thể hiện một lỗ hổng bảo mật nghiêm trọng.
Nó liên tục giám sát cửa sổ hoạt động, ghi lại các thay đổi tiêu đề và theo dõi thời gian nhàn rỗi của người dùng, đồng thời ghi lại luồng âm thanh và webcam. Ngoài ra, nó đánh cắp thông tin đăng nhập và cookie đã lưu từ Chrome và Firefox, sau đó lưu tất cả dữ liệu bị chặn vào một tệp có tên logs.dat.
Thông tin này sau đó được bí mật trích xuất đến một máy chủ lệnh và điều khiển từ xa tại 62.102.148.212. Tên tệp tải trọng tham chiếu đến “NEFT,” “RTGS,” “IMPS,” và “GST” rõ ràng cho thấy chiến dịch này nhắm vào các mục tiêu tại Ấn Độ.
Khuyến cáo An toàn Thông tin
Người dùng nên thận trọng với các tệp đính kèm email không mong muốn, giữ cho phần mềm bảo mật được cập nhật đầy đủ và không bao giờ mở các tệp lưu trữ nhận được từ những người gửi không xác định hoặc chưa được xác minh. Việc áp dụng các biện pháp an toàn thông tin là cực kỳ quan trọng.
Các Chỉ số Gây Compromise (IoCs)
IP Độc hại:
- 62.102.148.212
Tên Tệp Độc hại (Tên Tệp Ban đầu/Các Giai đoạn Tải):
- GST Debit Note Apr_26.com
- Optimax.dll
- System Optimizer Ultimate.dll
Tên Mutex:
- Remcos_Mutex_Inj
Thư mục Lưu trữ Tệp Độc hại:
- AppData Roaming (với tên ngẫu nhiên)
Khóa Đăng ký Tự khởi chạy:
- Run registry key (chi tiết cụ thể tùy thuộc vào cấu hình hệ thống)
Trình duyệt Bị Ảnh hưởng để Đánh cắp Dữ liệu:
- Chrome
- Firefox
Tệp Log Thu thập Dữ liệu:
- logs.dat
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ làm mờ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
