Malware FinalDraft: Một Công Cụ Lừa Đảo Tinh Vi

28/02/2025
1 mins read

Nội dung chính về malware FinalDraft

Trong bài viết này, malware FinalDraft được mô tả như một công cụ lừa đảo khai thác dịch vụ email Microsoft Outlook để thực hiện các hoạt động điều khiển từ xa (C2).

  1. Mô tả malware:
    • FinalDraft là một malware cửa sau được sử dụng để lấy dữ liệu và tiêm tiến trình. Nó là một phần của bộ công cụ lớn hơn bao gồm một trình tải malware tùy chỉnh có tên PathLoader và một số tiện ích sau khai thác.
  2. Chuỗi tấn công:
    • Cuộc tấn công bắt đầu với việc triển khai PathLoader, tải xuống và thực thi malware FinalDraft. PathLoader sử dụng kiểm tra hash API và mã hóa chuỗi để tránh phân tích tĩnh.
    • FinalDraft sau đó lấy mã OAuth từ Microsoft bằng cách sử dụng mã làm mới nhúng trong cấu hình của nó. Mã này được lưu trữ trong Registry của Windows để truy cập liên tục.
  3. Giao tiếp ẩn danh:
    • FinalDraft thiết lập giao tiếp thông qua Microsoft Graph API bằng cách gửi và nhận lệnh qua bản nháp email của Outlook. Phương pháp này giúp tránh phát hiện bằng cách hòa lẫn vào traffic bình thường của Microsoft 365. Các lệnh được ẩn trong các bản nháp với các tiền tố cụ thể (r_ cho lệnh đến và p_ cho phản hồi) và sau khi thực thi, các bản nháp sẽ bị xóa để giảm thiểu dấu vết.
  4. Các khả năng:
    • FinalDraft hỗ trợ nhiều hoạt động độc hại, bao gồm:
      • Lấy dữ liệu (tệp, thông tin xác thực, thông tin hệ thống)
      • Tiêm tiến trình (chạy payload trong các tiến trình hợp lệ như mspaint.exe)
      • Cuộc tấn công Pass-the-Hash (đánh cắp thông tin xác thực để di chuyển ngang)
      • Proxy mạng (tạo các đường hầm mạng lén lút)
      • Hoạt động tệp (sao chép, xóa hoặc ghi đè tệp)
      • Thực thi PowerShell (không cần khởi động powershell.exe)
  5. Nhắm mục tiêu:
    • Malware đã được xác định trong các cuộc tấn công chống lại một bộ trong một quốc gia Nam Mỹ và có liên kết với các nạn nhân ở Đông Nam Á.

Malware FinalDraft là một công cụ tinh vi được sử dụng trong các chiến dịch gián điệp mạng, khai thác Microsoft Graph API và các bản nháp email của Outlook để duy trì giao tiếp ẩn và tránh phát hiện.