Chiến Dịch Malware và Các Chiến Thuật Bổ Sung

Tổng Quan Về Chiến Dịch Malware

• DeepSeek LLM: Chiến dịch này lợi dụng sự phổ biến của DeepSeek LLM bằng cách tạo ra các trang web giả mạo giống như trang của DeepSeek chính thức. Những trang web này được thiết kế để phân tích địa chỉ IP của khách truy cập và hiển thị nội dung độc hại một cách động dựa trên vị trí của họ.
• Ứng Dụng Remote Desktop: Các kẻ tấn công sử dụng các ứng dụng remote desktop phổ biến để phân phối malware. Điều này bao gồm việc tạo ra các trình cài đặt độc hại được ngụy trang như các bản cập nhật phần mềm hợp pháp cho các ứng dụng này.

Chuỗi Nhiễm Khuẩn

1. Trang web Giả Mạo: Người dùng bị điều hướng đến các trang web giả mạo DeepSeek thông qua các tài khoản mạng xã hội bị xâm phạm và hoạt động của bot. Những trang web này yêu cầu người dùng tải xuống một client hoặc bắt đầu một chatbot, nhưng cả hai hành động này đều dẫn đến việc tải xuống một trình cài đặt độc hại.
2. Thực Thi Trình Cài Đặt: Trình cài đặt đã tải xuống, được tạo ra bằng Inno Setup, sẽ liên lạc với các URL độc hại để nhận lệnh. Lệnh phổ biến nhất sẽ khởi động powershell.exe với một script mã hóa Base64 làm tham số. Script này truy cập một URL đã được mã hóa để tải xuống một script PowerShell khác.
3. Triển Khai Malware: Script PowerShell kích hoạt dịch vụ SSH tích hợp sẵn và thay đổi cấu hình của nó bằng các khóa của kẻ tấn công, cho phép truy cập từ xa vào máy tính của nạn nhân. Malware cũng thiết lập tính bền vững bằng cách tạo các shortcut trong thư mục khởi động Windows và liên lạc với các máy chủ Pyramid Command-and-Control (C2).

Các Chiến Thuật Bổ Sung

• Geofencing: Các trang web giả mạo sử dụng kỹ thuật geofencing để hiển thị nội dung khác nhau dựa trên địa chỉ IP của người truy cập. Điều này giúp kẻ tấn công né tránh phát hiện bằng cách hiển thị nội dung vô hại cho một số người dùng trong khi hiển thị nội dung độc hại cho những người khác.
• Tích Hợp Telegram: Malware sử dụng một script PowerShell để gửi địa chỉ IP bên ngoài của các hosts bị nhiễm đến một bot Telegram do kẻ tấn công điều hành. Sự tích hợp này nâng cao khả năng nhắm mục tiêu của những kẻ tấn công.

Những Tác Động Đến An Ninh

• Sự Phức Tạp: Chiến dịch này thể hiện sự tinh vi đáng kể hơn so với các cuộc tấn công xã hội thông thường. Việc sử dụng geofencing, các tài khoản doanh nghiệp bị xâm phạm và hoạt động của bot được phối hợp làm cho các biện pháp phòng thủ an ninh mạng khó phát hiện hơn.
• Khuyến Nghị: Để duy trì sự an toàn, người dùng nên cảnh giác và không tin tưởng vào các tải về không được yêu cầu. Họ nên xác minh tính hợp pháp của phần mềm bằng cách kiểm tra URL và đảm bảo rằng nó đến từ một nguồn đáng tin cậy. Thêm vào đó, việc thiết lập một chương trình bảo mật và cập nhật phần mềm thường xuyên là rất quan trọng.