Chiến dịch Malware OBSCURE#BAT
- Đối tượng mục tiêu: Chiến dịch này nhắm đến người dùng nói tiếng Anh ở Hoa Kỳ, Canada, Đức và Vương quốc Anh.
- Vector lây nhiễm: Malware sử dụng các chiến thuật kỹ thuật xã hội và màn hình xác minh CAPTCHA giả trên các miền typosquatted để lừa người dùng thực thi các tập lệnh batch độc hại.
- Quy trình thực thi: Khi người dùng cố gắng xác minh rằng họ là người bằng cách nhấp vào ô kiểm, mã độc sẽ được sao chép vào bảng tạm. Người dùng sẽ được chỉ dẫn nhấn Windows+R và dán mã vào hộp thoại Run, vô tình thực thi payload ban đầu của malware.
- Kiểm tra chống phân tích: Các tập lệnh PowerShell thực hiện các kiểm tra chống phân tích, chẳng hạn như xác minh cấu hình phần cứng cụ thể, trước khi tiếp tục quy trình lây nhiễm.
Các kỹ thuật duy trì và né tránh
- Triển khai rootkit: Malware thiết lập tính bền vững bằng cách tiêm mã độc vào Registry của Windows và tạo các tác vụ ẩn được lập lịch thực thi khi khởi động hệ thống.
- Kỹ thuật ẩn: Rootkit sửa đổi bất kỳ tệp nào, quy trình, hoặc mục Registry nào bắt đầu với tiền tố “$nya-”, khiến chúng trở nên vô hình với các công cụ Windows tiêu chuẩn bao gồm Task Manager, Explorer và các tiện ích dòng lệnh.
- Né tránh phòng thủ: Malware sử dụng nhiều phương pháp làm rối, bao gồm thao tác chuỗi, hooking API, và vượt qua AMSI (Giao diện quét phần mềm độc hại), cho phép nó vượt qua các phát hiện antivirus tiêu chuẩn.
Thách thức phát hiện và biện pháp bảo vệ
- Thách thức phát hiện: Các chuyên gia bảo mật gặp nhiều khó khăn trong việc phát hiện OBSCURE#BAT do các kỹ thuật né tránh đa lớp của nó.
- Biện pháp bảo vệ: Các nhà nghiên cứu khuyến nghị duy trì sự cảnh giác chống lại các cuộc tấn công kỹ thuật xã hội, đặc biệt là các xác minh CAPTCHA giả mạo khiến người dùng phải thực thi mã. Người dùng nên xác minh rằng các tệp cài đặt phần mềm đến từ các trang web hợp pháp và kiểm tra các tệp batch trong các trình soạn thảo văn bản trước khi thực thi.
- Phát hiện nâng cao: Triển khai các giải pháp ghi nhật ký điểm cuối mạnh mẽ như Sysmon và ghi nhật ký PowerShell có thể nâng cao khả năng phát hiện. Một số truy vấn tìm kiếm cụ thể đã được cung cấp để giúp các nhóm bảo mật xác định các lây nhiễm OBSCURE#BAT tiềm năng trên mạng của họ.
Thuộc tính và khuyến nghị
- Thuộc tính: Mặc dù thuộc tính vẫn chưa rõ ràng, độ tinh vi của chiến dịch này cho thấy một tác nhân đe dọa được tài trợ tốt đang nhắm đến người dùng nói tiếng Anh.
- Chiến lược phòng thủ sâu: Các chuyên gia bảo mật khuyến nghị triển khai các chiến lược phòng thủ sâu bao gồm giáo dục người dùng, bảo vệ điểm cuối, và khả năng theo dõi nâng cao để đối phó với các kỹ thuật malware ẩn đang phát triển.
Chiến dịch này nhấn mạnh sự cần thiết phải duy trì sự cảnh giác liên tục và các biện pháp bảo mật mạnh mẽ để chống lại các cuộc tấn công kỹ thuật xã hội tinh vi và malware dựa trên rootkit.
