PureLogs infostealer vừa xuất hiện với một biến thể mới và nguy hiểm hơn, làm gia tăng rủi ro bảo mật trên hệ thống Windows khi sử dụng chuỗi tấn công nhiều giai đoạn để né tránh công cụ phòng vệ tiêu chuẩn. Biến thể này lạm dụng các thành phần Windows đáng tin cậy, đặc biệt là MsBuild.exe, để thực thi payload và giảm khả năng bị phát hiện trong quá trình phát hiện tấn công.
Chuỗi tấn công của PureLogs infostealer
Chiến dịch bắt đầu từ một email phishing mang chủ đề đơn đặt hàng, nhằm khiến người nhận tin rằng tệp đính kèm là hợp lệ. Khi nạn nhân mở tệp lưu trữ, bên trong là một file JavaScript được làm rối mạnh để che giấu hành vi ban đầu.
Script này khởi động toàn bộ chuỗi thực thi, sau đó gọi PowerShell để tiếp tục tải và giải mã thành phần tiếp theo. Theo phân tích từ FortiGuard Labs, chuỗi này kết hợp obfuscated JavaScript, PowerShell execution và process hollowing để đưa payload cuối cùng vào hệ thống.
Tham khảo báo cáo gốc tại Fortinet.
Biến thể PureLogs infostealer dùng process hollowing qua MsBuild.exe
Điểm đáng chú ý của biến thể này là kỹ thuật process hollowing thông qua MsBuild.exe, một công cụ build hợp lệ của Microsoft đi kèm .NET Framework. Downloader sẽ xác định MsBuild.exe trên máy bị nhiễm, khởi chạy tiến trình ở trạng thái suspended, rồi ghi đè vùng nhớ tiến trình bằng payload PureLogs trước khi tiếp tục thực thi.
Cách làm này cho phép mã độc chạy bên trong một tiến trình Windows có chữ ký hợp lệ, khiến các sản phẩm endpoint security khó phân biệt hoạt động độc hại với hành vi bình thường.
Các hàm API Windows được sử dụng
CreateProcessA
WriteProcessMemory
ResumeThreadCác lời gọi API trên được dùng để tạo tiến trình, chèn mã vào bộ nhớ tiến trình đích và tiếp tục luồng thực thi. Đây là dấu hiệu quan trọng khi giám sát cảnh báo CVE liên quan đến chuỗi thực thi bất thường trên endpoint, dù trường hợp này không gắn với một CVE cụ thể.
Kỹ thuật che giấu và tải payload
Sau khi JavaScript chạy, PowerShell sẽ thả một script bị làm rối mạnh, script này giải mã và nạp một module .NET đã mã hóa trực tiếp trong bộ nhớ. Module này được ngụy trang như một thành phần hợp pháp của Windows Task Scheduler để hòa lẫn với hoạt động hệ thống bình thường.
Payload cuối cùng còn được bảo vệ bằng các công cụ obfuscation thương mại như .NET Reactor và IntelliLock, làm tăng độ khó cho quá trình phân tích đảo ngược. Khi được nạp hoàn toàn trong MsBuild.exe, PureLogs hoạt động âm thầm ở nền và gửi dữ liệu ra máy chủ điều khiển qua các yêu cầu HTTPS mã hóa.
Hành vi thu thập dữ liệu của PureLogs infostealer
PureLogs infostealer nhắm vào nhiều loại dữ liệu nhạy cảm trên máy bị nhiễm. Mục tiêu bao gồm thông tin đăng nhập, cookie, autofill, dữ liệu trình duyệt, tệp ví tiền điện tử, email client, FTP tool và VPN client.
Mã độc này được mô tả là một công cụ thương mại từng được rao bán trên các diễn đàn ngầm, nên có thể được sử dụng bởi nhiều đối tượng với mức độ kỹ thuật khác nhau.
Dữ liệu và ứng dụng bị nhắm mục tiêu
- Hơn 80 trình duyệt: Chrome, Firefox, CocCoc, Kinza và nhiều trình duyệt khác.
- Ví tiền điện tử: Exodus, Electrum, Atomic Wallet, Binance và các ví tương tự.
- Email client: Microsoft Outlook, Thunderbird, Foxmail.
- FTP tool: FileZilla.
- VPN client: ProtonVPN, OpenVPN.
Dữ liệu bị đánh cắp sẽ được mã hóa bằng một khóa lưu trong configuration block của malware trước khi gửi về máy chủ điều khiển. Đây là bước quan trọng trong chuỗi rò rỉ dữ liệu vì giúp payload duy trì bí mật trong quá trình exfiltration.
Chỉ dấu theo dõi và phát hiện xâm nhập
Bài viết gốc có đề cập mục Indicators of Compromise (IoCs), nhưng không liệt kê cụ thể IP, domain hay hash. Do đó, nhóm IOC khả dụng chủ yếu dựa trên hành vi và thành phần được mô tả trong chuỗi tấn công.
- MsBuild.exe chạy ở trạng thái suspended bất thường.
- PowerShell thực thi script bị obfuscate từ file đính kèm email.
- Tiến trình hợp lệ tạo child process bất thường hoặc có hành vi ghi bộ nhớ tiến trình khác.
- Kết nối HTTPS ra ngoài ngay sau khi module .NET được nạp trong bộ nhớ.
- Hoạt động truy cập đồng thời vào dữ liệu trình duyệt, ví tiền điện tử và email client.
Trong môi trường giám sát, các dấu hiệu này có thể hỗ trợ phát hiện xâm nhập sớm hơn so với cách dựa vào chữ ký tĩnh. Tuy nhiên, vì PureLogs infostealer lạm dụng tiến trình hợp lệ và obfuscation nhiều lớp, việc dò tìm cần kết hợp telemetry từ endpoint, PowerShell logging và network inspection.
Khuyến nghị phòng thủ cho PureLogs infostealer
Security teams được khuyến nghị chặn việc thực thi JavaScript từ email attachment và giám sát chặt chẽ hành vi PowerShell bất thường trên endpoint. Đây là điểm kiểm soát quan trọng để giảm nguy cơ từ chuỗi khởi phát của PureLogs infostealer.
Quản trị viên cũng nên hạn chế khả năng của các tiến trình ít gặp trong việc spawn child process hoặc tạo kết nối mạng. Bên cạnh đó, cần theo dõi các tiến trình hợp lệ nhưng có hành vi giống process hollowing, đặc biệt khi tiến trình đích là MsBuild.exe.
Một số biện pháp kỹ thuật phù hợp với bối cảnh này bao gồm:
- Vô hiệu hóa hoặc kiểm soát script từ tệp đính kèm email.
- Bật logging cho PowerShell và giám sát chuỗi lệnh bị làm rối.
- Cảnh báo khi MsBuild.exe tạo kết nối mạng hoặc sinh tiến trình con bất thường.
- Giám sát truy cập hàng loạt vào dữ liệu trình duyệt, ví điện tử và client nhạy cảm.
- Đối chiếu sự kiện với nguồn threat intelligence như NVD và hệ thống SIEM nội bộ.
Những biện pháp trên đặc biệt hữu ích trong bối cảnh tin bảo mật mới nhất liên quan đến mã độc đánh cắp thông tin, khi attacker ưu tiên né tránh phát hiện hơn là dùng kỹ thuật khai thác trực tiếp qua lỗ hổng CVE cụ thể.
Vì sao biến thể này khó phát hiện hơn
PureLogs infostealer không dựa vào một bước thực thi đơn lẻ mà dùng chuỗi gồm email phishing, JavaScript bị obfuscate, PowerShell, nạp module .NET trong bộ nhớ và process hollowing qua tiến trình hợp lệ. Cách này làm giảm khả năng bị phát hiện bởi các lớp bảo vệ chỉ kiểm tra file tĩnh.
Do payload được nạp trực tiếp vào bộ nhớ của MsBuild.exe và truyền dữ liệu qua HTTPS, những chỉ dấu đáng chú ý nhất thường nằm ở hành vi thay vì mẫu file. Với loại mối đe dọa mạng này, phát hiện dựa trên hành vi và theo dõi child process là yếu tố cốt lõi trong an toàn thông tin.
Trong môi trường doanh nghiệp, việc ưu tiên kiểm tra email attachment, phân tích PowerShell, và giám sát tiến trình hợp lệ có hành vi bất thường sẽ giúp giảm rủi ro bảo mật từ các chiến dịch phát tán PureLogs infostealer.
