Trong bối cảnh tội phạm mạng ngày càng tinh vi, một kỹ thuật tấn công phi kỹ thuật (social engineering) mới đã xuất hiện, cho phép các tác nhân đe dọa (threat actors) phát tán mã độc bằng cách giả mạo các biện pháp bảo mật đáng tin cậy. Chiến dịch độc hại này được phát hiện đã lợi dụng các màn hình xác minh Cloudflare giả mạo nhằm lừa người dùng không cảnh giác thực thi mã độc trên hệ thống của họ.
Kỹ thuật tấn công này không chỉ làm nổi bật sự tinh vi ngày càng tăng của tội phạm mạng mà còn là lời nhắc nhở nghiêm khắc về tầm quan trọng của sự cảnh giác khi tương tác với các yêu cầu xác minh web tưởng chừng như thông thường.
Chi tiết kỹ thuật của cuộc tấn công
Cuộc tấn công bắt đầu khi người dùng truy cập một trang web lừa đảo, thường thông qua các liên kết lừa đảo (phishing links) hoặc từ các trang web đã bị xâm nhập. Trang web này được thiết kế để bắt chước một cách thuyết phục màn hình xác minh Cloudflare hợp pháp, nhằm mục đích đánh lừa người dùng tin rằng họ đang thực hiện một bước kiểm tra bảo mật tiêu chuẩn.
Giai đoạn ban đầu: Lừa đảo và Thu thập thông tin
Khi người dùng nhấp vào nút “Verify” (Xác minh) trên trang giả mạo, trang web độc hại sẽ thực hiện một loạt hành động âm thầm. Đầu tiên, nó bí mật tiêm một đoạn mã PowerShell vào clipboard của người dùng. Đồng thời, trang web này cũng thu thập địa chỉ IP của người dùng, một bước tiền đề cho các hoạt động thu thập thông tin (reconnaissance) hoặc nhắm mục tiêu trong tương lai. Hành động này diễn ra mà không có bất kỳ dấu hiệu rõ ràng nào, khiến người dùng không hề hay biết về việc clipboard của họ đã bị sửa đổi.
Sau khi mã PowerShell được tiêm vào clipboard, trang web sẽ đưa ra một yêu cầu xác minh bổ sung. Người dùng được hướng dẫn mở hộp thoại Run của Windows. Đây là một bước then chốt trong chuỗi tấn công, vì nó dựa vào sự quen thuộc của người dùng với các quy trình hệ thống thông thường để tạo điều kiện cho bước tiếp theo của quá trình lây nhiễm.
Kích hoạt và Tiêm mã độc PowerShell
Ngay khi hộp thoại Run được truy cập, trang web của kẻ tấn công sẽ kích hoạt một webhook. Webhook này ngay lập tức gửi một thông báo đến máy chủ của kẻ tấn công, xác nhận rằng người dùng đã thực hiện hành động được yêu cầu. Trong suốt quá trình này, trang web độc hại tích cực theo dõi các thao tác gõ phím (keystrokes) của người dùng, tiếp tục xâm phạm quyền riêng tư và khả năng thu thập thông tin nhạy cảm. Việc giám sát keystrokes này là một dấu hiệu đáng báo động về ý định của kẻ tấn công nhằm tối đa hóa khả năng trích xuất dữ liệu.
Khi người dùng dán nội dung từ clipboard vào hộp thoại Run (thường là bằng cách nhấn Ctrl+V), mã PowerShell đã được tiêm sẽ tự động kích hoạt. Mã PowerShell này được thiết kế để thực hiện một hành động quan trọng: nó truy xuất một lệnh PowerShell thứ cấp được mã hóa Base64 từ một dịch vụ giống pastebin từ xa được lưu trữ tại pastesio[.]com. Việc sử dụng mã hóa Base64 giúp che giấu lệnh thực tế khỏi sự phát hiện đơn giản, và việc truy xuất từ một nguồn bên ngoài cho phép kẻ tấn công thay đổi payload mà không cần sửa đổi trang lừa đảo ban đầu.
Thực thi Mã độc và Tải về Payload
Lệnh PowerShell thứ cấp, sau khi được giải mã và thực thi, sẽ bắt đầu quá trình tải xuống một tệp tin Batch (BAT) được mã hóa cứng từ một tên miền độc hại khác: axiomsniper[.]info. Tệp BAT này đóng vai trò là payload chính, chứa các hướng dẫn để cài đặt và thực thi mã độc bổ sung trên hệ thống của nạn nhân. Việc sử dụng tệp BAT cho phép kẻ tấn công thực hiện một loạt các lệnh hệ thống thông thường mà không cần các công cụ phức tạp hơn, làm tăng khả năng né tránh các hệ thống phòng thủ.
Cơ chế né tránh phát hiện
Tệp BAT độc hại này được thiết kế với các kỹ thuật né tránh tinh vi. Một trong những biện pháp né tránh quan trọng là kiểm tra sự hiện diện của môi trường máy ảo (virtual machine environments) hoặc các sandbox. Các môi trường này thường được các nhà nghiên cứu bảo mật sử dụng để phân tích mã độc một cách an toàn mà không gây hại cho hệ thống thực. Nếu tệp BAT phát hiện ra rằng nó đang chạy trong một môi trường ảo, kịch bản sẽ tự động chấm dứt để tránh bị phân tích và ngược kỹ thuật. Kỹ thuật này cho phép kẻ tấn công duy trì tỷ lệ phát hiện thấp và kéo dài tuổi thọ của chiến dịch độc hại của chúng.
Tuy nhiên, trên một hệ thống người dùng tiêu chuẩn, khi không phát hiện ra môi trường ảo, tệp BAT sẽ tiếp tục thực hiện mục đích của nó: cài đặt mã độc bổ sung, từ đó xâm phạm hoàn toàn máy của nạn nhân. Điều đáng báo động là tệp BAT này hiện tại đang né tránh được các công cụ phát hiện, cho thấy tỷ lệ phát hiện bằng 0 trên VirusTotal tại thời điểm phát hiện. Điều này nhấn mạnh tính chất tàng hình và mức độ mới mẻ của mối đe dọa này, cho thấy các chữ ký bảo mật truyền thống có thể chưa được cập nhật để nhận diện nó.
Tác động và Nguy cơ
Hậu quả của cuộc tấn công này là nghiêm trọng, vì nó pha trộn thao túng tâm lý với năng lực kỹ thuật để vượt qua sự nghi ngờ của người dùng và các biện pháp bảo mật truyền thống. Trang xác minh Cloudflare giả mạo lợi dụng sự quen thuộc của người dùng với các yêu cầu bảo mật hợp pháp, khai thác niềm tin để thực thi một chuỗi lây nhiễm nhiều lớp.
Kỹ thuật tấn công này là một ví dụ mạnh mẽ về cách tội phạm mạng liên tục điều chỉnh chiến lược của chúng để khai thác hành vi của con người. Nó nhấn mạnh nhu cầu cấp thiết về giáo dục người dùng nâng cao và bảo vệ điểm cuối (endpoint protection) mạnh mẽ để chống lại các mối đe dọa như vậy. Bằng cách nắm bắt thông tin về các chỉ số thỏa hiệp (IOCs) liên quan và áp dụng các thực hành bảo mật chủ động, người dùng và tổ chức có thể tự bảo vệ tốt hơn trước hình thức lừa đảo mạng tinh vi này.
Chỉ số thỏa hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) sau đây đã được xác định liên quan đến chiến dịch tấn công này:
- Tên miền độc hại cho việc tải xuống tệp BAT:
axiomsniper[.]info - Dịch vụ pastebin từ xa được sử dụng để lưu trữ lệnh PowerShell thứ cấp:
pastesio[.]com
Biện pháp phòng ngừa và phát hiện
Để giảm thiểu rủi ro từ các cuộc tấn công dựa trên kỹ thuật tấn công phi kỹ thuật và giả mạo dịch vụ như thế này, các tổ chức và cá nhân cần thực hiện các biện pháp phòng ngừa và phát hiện sau:
- Kiểm tra kỹ lưỡng URL: Luôn kiểm tra kỹ URL của bất kỳ trang web nào yêu cầu xác minh hoặc thông tin cá nhân. Hãy tìm kiếm các lỗi chính tả, tên miền phụ không khớp hoặc các ký tự lạ. Các trang Cloudflare hợp pháp sẽ luôn nằm dưới tên miền
cloudflare.com. - Cảnh giác với các yêu cầu không mong muốn: Tuyệt đối thận trọng với các yêu cầu xác minh bất ngờ, đặc biệt nếu chúng đến từ các liên kết email hoặc tin nhắn không rõ nguồn gốc.
- Không dán lệnh vào hộp thoại Run: Người dùng nên được hướng dẫn không bao giờ dán bất kỳ nội dung không rõ nguồn gốc nào vào hộp thoại Run của Windows hoặc bất kỳ giao diện dòng lệnh nào khác. Hành động này có thể trực tiếp kích hoạt mã độc.
- Kích hoạt hiển thị phần mở rộng tệp: Cấu hình hệ điều hành để hiển thị phần mở rộng tệp đầy đủ (ví dụ:
.exe,.bat,.ps1). Điều này có thể giúp người dùng nhận ra các tệp đáng ngờ không khớp với loại nội dung mong đợi. - Sử dụng giải pháp bảo vệ điểm cuối mạnh mẽ: Triển khai và duy trì các phần mềm chống virus và bảo vệ điểm cuối (endpoint protection) cập nhật với khả năng phát hiện dựa trên hành vi, không chỉ dựa trên chữ ký. Điều này có thể giúp bắt các mối đe dọa mới, chưa có chữ ký, như tệp BAT có tỷ lệ phát hiện bằng 0 được mô tả.
- Đào tạo và nâng cao nhận thức người dùng: Thường xuyên tổ chức các buổi đào tạo về an ninh mạng để nâng cao nhận thức của người dùng về các kỹ thuật tấn công phi kỹ thuật, các mối đe dọa lừa đảo và tầm quan trọng của việc xác minh các yêu cầu bảo mật.
- Giám sát lưu lượng mạng: Các tổ chức nên giám sát lưu lượng mạng để phát hiện các kết nối đáng ngờ đến các tên miền không được phê duyệt hoặc các hành vi tải xuống không điển hình từ các dịch vụ lưu trữ mã.
- Sử dụng chặn DNS: Triển khai các giải pháp chặn DNS có thể ngăn chặn các kết nối đến các tên miền độc hại đã biết, bao gồm các tên miền được liệt kê trong IOCs.
Các nhà nghiên cứu đã chia sẻ các truy vấn săn lùng (hunting queries) để phát hiện các trang web CAPTCHA giả mạo như vậy (có thể truy cập qua một bài đăng trên LinkedIn), thúc giục các tổ chức và cá nhân duy trì cảnh giác đối với các yêu cầu xác minh không được yêu cầu và kiểm tra kỹ các URL trước khi tương tác với chúng.
