LokiBot, một trong những họ malware đánh cắp thông tin đăng nhập lâu đời nhất còn hoạt động, đã tái xuất hiện trong một chiến dịch đa giai đoạn mới nhằm đánh cắp thông tin nhạy cảm từ nhiều ứng dụng. Chiến dịch này sử dụng tệp đính kèm email JScript làm điểm xâm nhập, âm thầm kích hoạt một chuỗi sự kiện dẫn đến việc dữ liệu nhạy cảm bị trích xuất khỏi máy nạn nhân mà không gây chú ý.
Tổng quan về LokiBot và các biến thể
LokiBot lần đầu tiên được quảng cáo vào tháng 5 năm 2015 trên một diễn đàn ngầm bởi các tác nhân đe dọa được biết đến với tên gọi “lokistov” và “carter”. Sau khi mã nguồn bị rò rỉ vào năm 2018, nhiều phiên bản phái sinh đã xuất hiện, mở rộng khả năng của malware bao gồm hỗ trợ Android, keylogging và truy cập từ xa. Ngày nay, LokiBot có thể nhắm mục tiêu thông tin đăng nhập được lưu trữ trên hơn một trăm ứng dụng, bao gồm trình duyệt, ví tiền điện tử, ứng dụng email và công cụ FTP.
Các nhà phân tích tại LevelBlue đã xác định chiến dịch gần đây, ghi nhận cách những kẻ tấn công cẩn thận xây dựng từng giai đoạn để hạn chế phơi nhiễm và tiêu hủy bằng chứng nếu có sự cố xảy ra. LevelBlue đã báo cáo rằng mẫu malware này được phân phối dưới dạng tệp đính kèm email độc hại, phương thức phân phối phổ biến nhất đối với LokiBot. Chi phí thấp và dễ sử dụng đã từng khiến LokiBot trở thành lựa chọn yêu thích của tội phạm mạng thiếu kỹ năng, và sự hiện diện liên tục của nó trong các nguồn cấp dữ liệu mối đe dọa cho thấy nó vẫn đang được duy trì.
Kỹ thuật tấn công và lây nhiễm
Cuộc tấn công bắt đầu khi nạn nhân nhận được một email lừa đảo có tệp JScript đính kèm. Việc mở tệp này khiến Windows thực thi nó thông qua chương trình Windows Script Host tích hợp sẵn. Tệp script được làm rối mã hóa nặng nề bằng các hàm đánh lừa và biến số có tên bằng hệ thập lục phân để làm chậm quá trình phân tích.
Giai đoạn thực thi ban đầu
Sau khi thực thi, script giải mã một script PowerShell được mã hóa Base64, lưu nó vào thư mục C:\Temp với tên tệp ngẫu nhiên và chạy nó. Nếu hết thời gian chờ định trước, script sẽ tự dọn dẹp bằng cách chấm dứt các tiến trình và xóa chính tệp của nó.
Tải và thực thi payload .NET
Tiếp theo, giai đoạn PowerShell giải mã một assembly .NET bằng cách sử dụng XOR với một khóa được mã hóa cứng và tải nó trực tiếp vào bộ nhớ mà không ghi ra đĩa. Assembly .NET này, được bảo vệ bằng trình làm rối mã ConfuserEx, hoạt động như một trình tiêm mã (injector).
Kỹ thuật Process Injection
Trình tiêm mã khởi tạo một tiến trình aspnet_compiler.exe hợp pháp, cấp phát bộ nhớ bên trong nó và ghi payload LokiBot cuối cùng vào không gian đó. Kỹ thuật process injection này cho phép malware chạy bên trong một tiến trình Windows đáng tin cậy, khiến việc phát hiện trở nên khó khăn hơn.
Cơ chế hoạt động của LokiBot
Khi hoạt động, LokiBot tạo một mutex bằng cách sử dụng hàm băm MD5 của định danh registry duy nhất của máy để đảm bảo chỉ một phiên bản chạy tại một thời điểm. Sau đó, nó lặp qua một danh sách các chức năng chuyên thu thập thông tin đăng nhập, mỗi chức năng nhắm mục tiêu một ứng dụng cụ thể, âm thầm thu thập tên người dùng và mật khẩu trên các trình duyệt, ứng dụng email và nhiều hơn nữa. Để che giấu, LokiBot tránh nhập trực tiếp hầu hết các hàm Windows API và thay vào đó phân giải chúng tại thời điểm chạy bằng một kỹ thuật băm tùy chỉnh.
Tác động và Hậu quả
Tác động rộng lớn của một cuộc lây nhiễm LokiBot thành công là rất nghiêm trọng. Sau khi malware hoàn thành các quy trình thu thập thông tin đăng nhập, nó sẽ nén dữ liệu bị đánh cắp và truyền nó đến một máy chủ điều khiển và chỉ huy (C2). Từ đó, kẻ tấn công có quyền truy cập vào mật khẩu và chi tiết tài khoản từ hàng chục ứng dụng, đặt cá nhân và tổ chức vào rủi ro thực sự về việc chiếm đoạt tài khoản và đánh cắp dữ liệu.
Thu thập và Exfiltration Dữ liệu
Sau khi thu hoạch thông tin đăng nhập, LokiBot nén dữ liệu bị đánh cắp bằng aPLib và gửi nó đến một máy chủ C2 có địa chỉ được lưu trữ trong tệp nhị phân bằng mã hóa 3DES. Malware cũng cố gắng thiết lập sự bền bỉ thông qua một khóa đăng ký chạy (registry run key), nhưng các mẫu mới hơn được xây dựng với các công cụ tùy chỉnh chứa một cơ chế bền bỉ bị hỏng do một quy trình giải mã đã được vá.
Các biện pháp phòng ngừa và giảm thiểu rủi ro
Để giảm thiểu rủi ro, các tổ chức có thể thực hiện các biện pháp sau: chặn các tệp đính kèm email dựa trên script, theo dõi việc sử dụng bất thường của aspnet_compiler.exe và kích hoạt các biện pháp bảo vệ điểm cuối dựa trên hành vi có khả năng phát hiện các mẫu tải phản chiếu (reflective loading) và tiêm mã tiến trình (process injection).
Các chỉ số xâm phạm (IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn việc phân giải hoặc tạo liên kết ngoài ý muốn. Chỉ khôi phục định dạng đầy đủ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Tệp đính kèm email độc hại: JScript (.js)
- Tiến trình đáng ngờ:
Windows Script Hostthực thi JScript,PowerShellgiải mã và tải payload .NET,aspnet_compiler.exeđược sử dụng cho process injection. - Kỹ thuật che giấu: Mã hóa Base64, XOR, ConfuserEx, process injection, phân giải API tại thời điểm chạy bằng băm tùy chỉnh.
Nâng cao khả năng phòng thủ chủ động của bạn chống lại các cuộc tấn công. Truy cập 5 chiến thuật săn lùng mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình: Threat Hunting Tactics.
