Mối Đe Dọa Mới: Screensaver Windows – Kênh Phân Phối Malware

08/04/2025
3 mins read

Các tác nhân đe dọa đã ngày càng sử dụng tệp tin screensaver Windows (.SCR) như một kênh phân phối malware, khai thác tính chất thực thi của chúng để triển khai các tải trọng độc hại khác nhau. Dưới đây là cái nhìn tổng quát chi tiết về những mối đe dọa và chiến thuật mới nhất:

Nội dung
Các Tác Nhân Đe Dọa và Chiến Thuật
1. Các Chiến Dịch Gần Đây:
2. Chi Tiết Kỹ Thuật
3. Các Chỉ Số Thỏa Thuận (IOCs)
4. Chiến Lược Giảm Thiểu

Các Tác Nhân Đe Dọa và Chiến Thuật

1. Các Chiến Dịch Gần Đây:

  • Chiến Dịch ModiLoader: Các tác nhân đe dọa đã giả mạo một công ty vận chuyển và logistics nổi bật của Đài Loan để phân phối malware. Các email lừa đảo, được viết bằng tiếng Trung, được tạo ra để trông giống như các cập nhật logistics hợp pháp. Các email đã yêu cầu xác minh đơn hàng vận chuyển và đính kèm một tệp có tiêu đề “景大 台北港ISF (032525) – invoice# JN-032525C – KAO TO ATLANTA,GA VIA NYC CFS【友鋮】SO.N023.xlsx.rar.” Tệp tin nén độc hại bao gồm một tệp .SCR ngụy trang mà khi thực thi, đã triển khai ModiLoader, một trình tải malware dựa trên Delphi. ModiLoader được biết đến với việc phân phối nhiều tải trọng độc hại khác nhau như Remcos, Agent Tesla, MassLogger, AsyncRAT và Formbook.
  • Chiến Dịch Nhóm Lazarus: Các tác nhân đe dọa được tài trợ từ nhà nước Bắc Triều Tiên có liên quan đến Nhóm Lazarus đã tăng cường chiến dịch Contagious Interview bằng cách triển khai các gói npm độc hại mới sử dụng mã hóa chuỗi thập lục phân để vượt qua các cơ chế phát hiện. Những gói này phân phối các công cụ lấy thông tin BeaverTail và các trình tải RAT, nhắm vào các nhà phát triển để đánh cắp thông tin tài khoản, dữ liệu tài chính và ví tiền điện tử. Các tác nhân đe dọa đã tạo tài khoản npm để phân phối các gói độc hại, thường ngụy trang dưới dạng tiện ích cho xử lý API, ghi lại và gỡ lỗi.

2. Chi Tiết Kỹ Thuật

  • Thực Thi ModiLoader: Định dạng tệp .SCR thường bị lạm dụng do khả năng thực thi các lệnh như bất kỳ tệp thực thi nào khác. Trong chiến dịch ModiLoader, những kẻ tấn công đã nhúng ModiLoader vào tệp screensaver. Khi thực thi, ModiLoader đã hoạt động như một cơ chế phân phối cho malware bổ sung. Nó thực hiện các yêu cầu GET HTTP để giao tiếp với các máy chủ chỉ huy và kiểm soát (C2), tải xuống các tải trọng được mã hóa mà tránh được phát hiện dựa trên chữ ký. Malware chèn những tải trọng này vào các quy trình hợp pháp như explorer.exe hoặc svchost.exe bằng cách sử dụng kỹ thuật khoan quy trình, là một kỹ thuật thay thế các phần của bộ nhớ thực thi bằng mã độc.
  • Mã Hóa Chuỗi Thập Lục Phân: Các gói npm độc hại của Nhóm Lazarus sử dụng các hàm giải mã chuỗi thập lục phân để che giấu các thành phần quan trọng như nhập module và URL C2. Ví dụ, gói `cln-logger` đã sử dụng một hàm JavaScript để giải mã các chuỗi mã hóa thập lục phân thành các lệnh require, cho phép tải động các module độc hại.

3. Các Chỉ Số Thỏa Thuận (IOCs)

  • Các Gói Độc Hại:
    • *empty-array-validator* (129 lượt tải),
    • *twitterapis* (102),
    • *dev-debugger-vite* (1,606),
    • *snore-log* (1,904),
    • *core-pino* (483).
  • Tài Khoản Tác Nhân Đe Dọa:
    • Các bí danh npm *taras_lakhai* (kevintracy516@gmail[.]com), *mvitalii* (mvitalii206@gmail[.]com); các kho GitHub *lukobogdan47/empty-array-validator*.
  • Cơ Sở Hạ Tầng C2:
    • 144.172.87[.]27:1224,
    • 45.61.151[.]71:1224,
    • *ip-check-api[.]vercel[.]app/api/ipcheck/703*.

4. Chiến Lược Giảm Thiểu

  • Chiến Lược An Ninh Mạng Toàn Diện: Các tổ chức cần duy trì cảnh giác chống lại những mối đe dọa như vậy bằng cách áp dụng các chiến lược an ninh mạng toàn diện bao gồm bảo vệ điểm cuối, các giải pháp lọc email và đào tạo nhận thức người dùng.
  • Phòng Thủ Đa Tầng: Việc triển khai nhiều lớp bảo vệ như phát hiện dựa trên tệp, học máy, bảo mật email và phân tích hành vi có thể nâng cao khả năng phát hiện. Ví dụ, telemetry của Symantec đã tiết lộ các bản cập nhật mô-đun cho trình tải, cho phép thay đổi tải trọng động dựa trên hồ sơ nạn nhân. Symantec đã giảm thiểu những mối đe dọa này thông qua các biện pháp đa tầng, bao gồm phát hiện heuristic (Heur.AdvML.B) và các quy tắc phân tích tĩnh (Trojan.Gen.MBT).
  • Chặn Thực Thi Tệp .SCR: Các doanh nghiệp được khuyến cáo chặn thực thi tệp .scr trong các môi trường có nguy cơ cao và thực thi việc gắn bó tệp đính kèm email để chặn các tải trọng trước khi triển khai.

Bằng cách hiểu những chiến thuật này và triển khai các chiến lược giảm thiểu mạnh mẽ, các tổ chức có thể bảo vệ tốt hơn chống lại những mối đe dọa đang tiến hóa từ việc phân phối malware thông qua các tệp screensaver Windows.