Một chiến dịch tấn công mạng tinh vi đã nhắm mục tiêu vào người dùng Hàn Quốc, phát tán mã độc Remcos RAT thông qua các trình cài đặt giả mạo phần mềm mã hóa VeraCrypt hợp pháp. Chiến dịch đang diễn ra này chủ yếu tập trung vào những cá nhân có liên quan đến các nền tảng cờ bạc trực tuyến bất hợp pháp. Tuy nhiên, các chuyên gia bảo mật cảnh báo rằng người dùng thông thường tải xuống các công cụ mã hóa cũng có nguy cơ trở thành nạn nhân của kế hoạch này.
Các đối tượng đe dọa sử dụng hai phương pháp phân phối riêng biệt để phát tán payload độc hại. Mục tiêu cuối cùng là thiết lập quyền kiểm soát từ xa thông qua mã độc Remcos RAT, cho phép thực hiện các hành vi đánh cắp dữ liệu và giám sát.
Các Phương thức Phân phối Mã độc
Trình cài đặt giả mạo phần mềm bảo mật
Phương pháp phân phối đầu tiên là giả mạo trình cài đặt tiện ích VeraCrypt chính hãng. Kẻ tấn công lợi dụng sự tin tưởng của người dùng vào các công cụ mã hóa hợp pháp để lừa họ tải xuống và thực thi các tệp độc hại. Điều này làm tăng nguy cơ hệ thống bị xâm nhập đối với những người tìm kiếm các giải pháp bảo mật dữ liệu.
Chương trình tra cứu cơ sở dữ liệu cờ bạc giả mạo
Phương pháp thứ hai liên quan đến các chương trình tra cứu cơ sở dữ liệu giả mạo. Các chương trình này tự nhận là kiểm tra danh sách đen tài khoản trang web cờ bạc, thu hút những người dùng có liên quan đến các hoạt động cá cược trực tuyến. Cả hai kênh phân phối này đều được quan sát thấy phát tán mã độc Remcos RAT qua trình duyệt web và các nền tảng nhắn tin như Telegram.
Các tên tệp được sử dụng để đánh lừa nạn nhân bao gồm:
*****usercon.exeblackusernon.exe
Chuỗi Lây nhiễm và Kỹ thuật Né tránh Phát hiện
Các nhà phân tích của ASEC đã xác định rằng sau khi thực thi, các trình cài đặt giả mạo triển khai các script VBS độc hại ẩn trong các phần tài nguyên của chúng. Các script này được ghi vào thư mục tạm thời của hệ thống với tên tệp ngẫu nhiên trước khi được kích hoạt.
Mã độc Remcos RAT sau đó khởi tạo một chuỗi lây nhiễm phức tạp gồm nhiều giai đoạn script VBS và PowerShell bị che giấu. Mục tiêu cuối cùng là triển khai payload của mã độc Remcos RAT, cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống bị xâm nhập từ xa.
Cuộc tấn công mạng này sử dụng quy trình lây nhiễm tám giai đoạn tinh vi được thiết kế để né tránh sự phát hiện của phần mềm bảo mật. Sau khi trình thả (dropper) ban đầu được thực thi, mã độc tiến triển qua năm giai đoạn tải xuống dựa trên script.
Các script trung gian này sử dụng các script VBS và PowerShell bị che giấu với các phần mở rộng tệp gây hiểu lầm. Chúng chứa các bình luận giả, dữ liệu rác và các tệp ngụy trang dưới dạng ảnh JPG, nhưng thực chất lại nhúng các payload độc hại được mã hóa Base64. Kỹ thuật này giúp mã độc khó bị phân tích và phát hiện bởi các công cụ an ninh mạng truyền thống.
Khả năng của Mã độc Remcos RAT và Tác động đến Nạn nhân
Các chức năng chiếm quyền điều khiển và thu thập thông tin
Mã độc Remcos RAT được trang bị các khả năng đánh cắp dữ liệu rộng lớn, dẫn đến nguy cơ rò rỉ dữ liệu cá nhân và tài chính nghiêm trọng. Các chức năng này bao gồm:
- Keylogging: Ghi lại mọi thao tác bàn phím của nạn nhân.
- Chụp ảnh màn hình: Thu thập hình ảnh từ màn hình người dùng.
- Kiểm soát webcam và microphone: Kích hoạt và ghi lại từ các thiết bị này.
- Trích xuất thông tin đăng nhập: Thu thập mật khẩu và thông tin nhạy cảm từ trình duyệt web.
Rủi ro rò rỉ dữ liệu nhạy cảm
Nạn nhân bị nhiễm mã độc Remcos RAT đối mặt với rủi ro đáng kể về việc thông tin cá nhân nhạy cảm, thông tin đăng nhập và dữ liệu tài chính bị rò rỉ dữ liệu và truyền về máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công. Hậu quả có thể là mất mát tài chính, đánh cắp danh tính hoặc bị lạm dụng thông tin cá nhân, ảnh hưởng nghiêm trọng đến an toàn thông tin của người dùng.
Cơ chế Duy trì Quyền truy cập và Nhắm mục tiêu
Chuỗi lây nhiễm kết thúc bằng một injector dựa trên .NET, giao tiếp với kẻ tấn công qua Discord webhooks. Injector này đóng vai trò quan trọng trong việc thiết lập kết nối liên tục giữa hệ thống bị xâm nhập và máy chủ điều khiển của kẻ tấn công.
Injector tải xuống payload mã độc Remcos RAT cuối cùng từ các máy chủ từ xa, giải mã và tiêm trực tiếp vào tiến trình AddInProcess32.exe để duy trì quyền truy cập (persistence). Bằng cách tiêm vào một tiến trình hệ thống hợp pháp, mã độc có thể tồn tại qua các lần khởi động lại và hoạt động ẩn mình trong thời gian dài.
Đáng chú ý, các nhà nghiên cứu bảo mật đã phát hiện ra rằng một số biến thể của mã độc Remcos RAT sử dụng chuỗi ký tự tiếng Hàn trong cài đặt cấu hình và khóa registry. Điều này là một dấu hiệu rõ ràng cho thấy tính chất nhắm mục tiêu của chiến dịch vào người dùng nói tiếng Hàn, cho phép kẻ tấn công tối ưu hóa hiệu quả của cuộc tấn công mạng.
Khuyến nghị Bảo mật và Phát hiện Xâm nhập
Để giảm thiểu rủi ro từ các chiến dịch tấn công mạng như thế này, người dùng và tổ chức cần đặc biệt cảnh giác. Luôn xác minh tính hợp pháp của phần mềm trước khi tải xuống và cài đặt, đặc biệt là các công cụ bảo mật hoặc mã hóa. Tải xuống phần mềm chỉ từ các nguồn chính thức và đáng tin cậy để tránh cài đặt mã độc Remcos RAT không mong muốn.
Việc triển khai các giải pháp an ninh mạng mạnh mẽ, bao gồm phần mềm chống virus/chống malware tiên tiến và hệ thống phát hiện xâm nhập (IDS), là rất quan trọng. Các giải pháp này có thể giúp nhận diện và ngăn chặn các payload độc hại cũng như các hành vi bất thường trong chuỗi lây nhiễm, bảo vệ hệ thống khỏi bị xâm nhập.
Thường xuyên cập nhật hệ điều hành và tất cả phần mềm ứng dụng bằng các bản vá bảo mật mới nhất. Đồng thời, nâng cao nhận thức về các mối đe dọa thông qua đào tạo người dùng về kỹ thuật lừa đảo (phishing) và các hình thức tấn công phi kỹ thuật khác cũng là một biện pháp phòng ngừa hiệu quả. Việc không tuân thủ các biện pháp này có thể dẫn đến các cuộc tấn công mạng thành công, gây ra hậu quả nghiêm trọng về rò rỉ dữ liệu và thiệt hại tài chính.
