Các tác nhân đe dọa đã triển khai một tệp LNK độc hại ngụy trang thành cửa sổ bật lên xác thực email bảo mật của một công ty thẻ tín dụng nhằm đánh cắp thông tin nhạy cảm của người dùng. Tệp này, được đặt tên là “card_detail_20250610.html.lnk”, khéo léo tự ngụy trang thành một tài liệu HTML hợp pháp từ một tổ chức tài chính, lợi dụng sự tin tưởng của người dùng vào các quy trình bảo mật định kỳ.
Trong quá khứ, các tác nhân này thường dựa vào các tập lệnh PowerShell để ghi lại thao tác bàn phím (keylogging) và trích xuất dữ liệu. Tuy nhiên, biến thể tấn công hiện tại đã chuyển sang sử dụng một tệp DLL được tải xuống để tăng cường khả năng ẩn mình và né tránh phát hiện.
Phân Tích Kỹ Thuật Chiến Dịch
Mồi Nhử và Phương Thức Lây Nhiễm Ban Đầu
Để né tránh các hệ thống phát hiện, tệp LNK độc hại được thực thi song song với một tệp mồi nhử (decoy file) là một tài liệu HTML hợp pháp, mô phỏng giao diện xác thực thẻ tín dụng. Kỹ thuật này đánh lạc hướng sự chú ý của người dùng khỏi hoạt động độc hại đang diễn ra ở chế độ nền. Đây là một sự tiến hóa từ các loại tài liệu mồi nhử truyền thống, chẳng hạn như tệp PDF hoặc tài liệu Word, sang định dạng HTML vốn hòa nhập liền mạch với các tương tác dựa trên web.
Ngay sau khi được thực thi, tệp LNK sẽ tìm nạp thêm một tệp ứng dụng HTML (HTA) và tài liệu HTML mồi nhử từ máy chủ của kẻ tấn công. Các tệp này được lưu trữ và chạy trong thư mục tạm thời của hệ thống. Tài liệu mồi nhử hiển thị một cửa sổ bật lên rất thuyết phục, yêu cầu người dùng tương tác, từ đó che giấu thêm quá trình lây nhiễm đang diễn ra.
Quy Trình Thực Thi và Tải Payload
Kịch bản HTA sau đó sẽ tạo ra một tệp DLL độc hại có tên là “sys.dll” và một tệp văn bản “user.txt”. Tệp “user.txt” chứa các URL cho các payload tiếp theo. Cả hai tệp này được đặt trong thư mục C:\Users\{username}\AppData\Local. Tệp sys.dll sau đó được gọi thông qua rundll32.exe, khởi tạo các hành vi độc hại cốt lõi của malware.
Bằng cách tham chiếu các URL trong user.txt, sys.dll tiếp tục tải xuống ba tệp DLL bổ sung: app, net và notepad.log. Các tệp DLL này được đưa vào bộ nhớ trực tiếp thông qua kỹ thuật Reflective DLL Injection. Kỹ thuật này, vốn phổ biến trong các malware tiên tiến, giúp bỏ qua quá trình pháp y dựa trên đĩa và làm phức tạp các hệ thống phát hiện và phản hồi điểm cuối (EDR).
Đáng chú ý, DLL “app” được inject vào một tiến trình chrome.exe đang hoạt động. Điều này cho phép các hoạt động độc hại duy trì liên tục trong một môi trường trình duyệt được tin cậy, làm cho việc phát hiện và loại bỏ trở nên khó khăn hơn.
Khả Năng và Mục Tiêu Của Malware
Các thành phần được tải xuống thể hiện các khả năng đánh cắp thông tin (infostealer) và backdoor chuyên biệt.
Infostealer `app.dll`
Tệp DLL “app” được thiết kế để nhắm mục tiêu dữ liệu trình duyệt từ Chrome, Brave và Edge. Khả năng của nó bao gồm việc trích xuất các thông tin nhạy cảm sau:
- Thông tin đăng nhập (Credentials): Tên người dùng và mật khẩu đã lưu.
- Cookies: Dữ liệu phiên cho phép duy trì trạng thái đăng nhập và theo dõi hoạt động người dùng.
- Thông tin phiên (Session information): Dữ liệu liên quan đến các phiên làm việc hiện tại của người dùng.
Infostealer `net.dll`
Bổ sung cho app.dll, DLL “net” mở rộng phạm vi thu thập dữ liệu bằng cách khai thác thông tin từ nhiều trình duyệt và dịch vụ khác, bao gồm:
- Trình duyệt: Chrome, Opera, Firefox.
- Dịch vụ trực tuyến: Google, Yahoo, Facebook, và Outlook.
net.dll tập trung vào các tạo tác đăng nhập và nội dung email, cung cấp một nguồn dữ liệu phong phú cho kẻ tấn công.
Backdoor `notepad.log`
Trong khi đó, tệp “notepad.log” (một tên gọi gây hiểu lầm để che giấu mục đích thực) hoạt động như một backdoor đa chức năng, có khả năng thực hiện các lệnh sau:
- Thực thi lệnh shell từ xa: Cho phép kẻ tấn công điều khiển hệ thống nạn nhân từ xa.
- Biên soạn danh sách tệp: Liệt kê các tệp và thư mục trên hệ thống.
- Trích xuất tài liệu: Đánh cắp các tài liệu và tệp quan trọng.
- Tải xuống tệp bổ sung: Tải thêm các payload hoặc công cụ khác vào hệ thống.
- Truyền dữ liệu ghi lại thao tác bàn phím (keylogging): Gửi thông tin về các phím đã gõ của người dùng đến máy chủ của kẻ tấn công.
Kết quả ghi lại thao tác bàn phím được lưu trữ trong thư mục C:\Users\{username}\AppData\Local\netkey. Ngoài ra, theo phân tích của ASEC từ các mẫu bị thu giữ, dấu vết của dữ liệu này cũng có thể quan sát được trong bộ nhớ.
Chỉ Báo Compromise (IOCs)
Dựa trên phân tích kỹ thuật, các chỉ báo thỏa hiệp tiềm năng bao gồm các tệp và vị trí sau:
- Tên tệp:
card_detail_20250610.html.lnksys.dlluser.txtapp(DLL)net(DLL)notepad.log(DLL)
- Đường dẫn tệp:
C:\Users\{username}\AppData\Local\C:\Users\{username}\AppData\Local\netkey\
- Tiến trình liên quan:
rundll32.exe(để gọisys.dll)chrome.exe(tiến trình bị inject bởiapp.dll)
Biện Pháp Phòng Ngừa và Giảm Thiểu
Chiến dịch này nhấn mạnh mức độ tinh vi ngày càng tăng của các cuộc tấn công dựa trên tệp LNK, nơi kẻ thù mạo danh các tổ chức uy tín để lôi kéo người dùng thực thi các tệp độc hại. Để bảo vệ khỏi các mối đe dọa tương tự, người dùng và tổ chức nên thực hiện các biện pháp sau:
- Kiểm tra kỹ lưỡng các tệp không mong muốn: Luôn cảnh giác với các tệp đính kèm hoặc liên kết được gửi qua email hoặc tin nhắn, đặc biệt là những tệp yêu cầu xác thực hoặc có vẻ đáng ngờ.
- Kích hoạt tính năng bảo vệ mối đe dọa nâng cao: Sử dụng các giải pháp bảo mật điểm cuối (Endpoint Security) và phần mềm chống virus với khả năng phát hiện dựa trên hành vi và bảo vệ nâng cao chống lại các kỹ thuật tấn công mới.
- Xác minh nguồn gốc trước khi tương tác: Trước khi nhấp vào bất kỳ liên kết hoặc mở tệp nào, hãy xác minh tính hợp pháp của người gửi và tính xác thực của yêu cầu thông qua các kênh liên lạc riêng biệt (ví dụ: gọi điện trực tiếp cho công ty thay vì trả lời email).
- Cập nhật hệ điều hành và phần mềm: Đảm bảo hệ điều hành, trình duyệt web và tất cả các ứng dụng khác được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết.
- Đào tạo nhận thức về bảo mật: Nâng cao nhận thức của người dùng về các kỹ thuật lừa đảo (phishing) và các mối đe dọa dựa trên kỹ thuật xã hội.
ASEC lưu ý rằng việc phân phối các loại malware như vậy vẫn đang diễn ra, với các kỹ thuật liên tục được tinh chỉnh để khai thác tâm lý con người và các lỗ hổng hệ thống.
