Sự trở lại của Rhadamanthys Stealer, một chủng mã độc đánh cắp thông tin có tính module cao được phát hiện lần đầu vào năm 2022, đã gây ra một diễn biến đáng lo ngại cho các chuyên gia an ninh mạng với phương thức phân phối tinh vi và lừa đảo mang tên ClickFix Captcha. Kỹ thuật này ngụy trang các payload độc hại đằng sau giao diện CAPTCHA dường như hợp pháp, lừa dối người dùng thực thi mã độc phức tạp.
Cuộc điều tra gần đây về một domain lừa đảo đáng ngờ, hxxps://ypp-studio[.]com, đã phơi bày một chuỗi tấn công không cần file (fileless attack chain) phức tạp, cuối cùng triển khai Rhadamanthys để thu thập một lượng lớn dữ liệu nhạy cảm, từ thông tin đăng nhập đến chi tiết ví tiền điện tử. Chiến dịch này nhấn mạnh sự phát triển trong các chiến thuật của tội phạm mạng, những kẻ khai thác lòng tin và kỹ thuật xã hội để vượt qua các biện pháp kiểm soát bảo mật truyền thống, gây ra mối đe dọa đáng kể cho cả cá nhân và tổ chức.
Chuỗi Tấn công và Cơ chế Truyền tải
Cuộc tấn công bắt đầu bằng một script PowerShell độc hại được thực thi với các tham số được thiết kế để ẩn mình, bao gồm thực thi cửa sổ ẩn (-w hidden) và bỏ qua chính sách thực thi (-ep bypass). Script này tải về một payload phụ từ hxxps://ypp-studio[.]com/update.txt, chứa mã bị xáo trộn với các ký tự đệm ngẫu nhiên và một chuỗi mã hóa hex.
Sau khi giải mã, chuỗi này tiết lộ một URL: http://62.60.226.74/PTRFHDGS.msi. Từ URL này, mã độc được ngụy trang dưới dạng một trình cài đặt MSI được tải xuống và lưu vào %AppData%\\PTRFHDGS.msi trước khi được thực thi bằng msiexec.exe. Một thông báo lừa đảo “Verification complete!” (Xác minh hoàn tất!) tiếp tục đánh lừa nạn nhân tin rằng quá trình này là vô hại.
Đáng chú ý, việc truy cập trực tiếp URL tải xuống trong trình duyệt sẽ kích hoạt tải xuống tự động tệp rh_0.9.0.exe. Tệp này bị các cảnh báo của trình duyệt gắn cờ là bất thường, phù hợp với các quan sát trước đây về việc Rhadamanthys được phân phối thông qua các quy ước đặt tên tệp thực thi tương tự. Không giống như các chiến dịch trước đó sử dụng http://77.239.96.51/rh_0.9.0.exe, cơ chế dropper cập nhật này phản ánh những cải tiến đáng kể trong hạ tầng của mã độc.
Kỹ thuật Né tránh Nâng cao
Rhadamanthys sử dụng các kỹ thuật né tránh nâng cao để ngăn chặn phân tích trong máy ảo hoặc sandbox. Các kỹ thuật này bao gồm:
- Anti-VM: Phát hiện môi trường máy ảo để tránh bị phân tích tự động.
- Anti-Debugging: Chống lại các công cụ gỡ lỗi (debugger) được sử dụng bởi các nhà phân tích mã độc.
- Phát hiện tấn công kênh phụ dựa trên thời gian (Time-based side-channel attack detection): Một phương pháp tinh vi để nhận diện các môi trường phân tích.
Mã độc cũng kiểm tra sự hiện diện của các tiến trình trong danh sách đen như OllyDbg.exe và Wireshark.exe. Nếu các công cụ phân tích này được phát hiện, mã độc sẽ tự chấm dứt hoạt động. Đồng thời, Rhadamanthys thiết lập giao tiếp Command-and-Control (C2) thông qua các địa chỉ IP thô như 193.109.85.136 để né tránh việc phát hiện dựa trên DNS, vốn là phương pháp phổ biến để chặn lưu lượng C2.
Phạm vi Đánh cắp Dữ liệu
Phạm vi đánh cắp dữ liệu của Rhadamanthys cực kỳ rộng lớn, nhắm mục tiêu vào nhiều loại thông tin nhạy cảm:
- Thông tin hệ thống: Bao gồm các chi tiết về hệ điều hành, cấu hình phần cứng và các ứng dụng đã cài đặt.
- Thông tin đăng nhập trình duyệt: Tài khoản và mật khẩu được lưu trữ trong các trình duyệt phổ biến.
- Ví tiền điện tử: Các khóa riêng tư, seed phrase và thông tin truy cập ví tiền điện tử.
- Ảnh chụp màn hình: Mã độc có khả năng chụp ảnh màn hình của hệ thống nạn nhân, có thể được chuyển tiếp đến máy chủ C2 để khai thác thêm.
Những dữ liệu này có khả năng được chuyển tiếp đến máy chủ C2 để phục vụ cho các hoạt động khai thác hoặc bán lại trên các diễn đàn chợ đen.
Sự Tiến hóa và Phương thức Phân phối
Được bán dưới dạng Malware-as-a-Service (MaaS) trên các diễn đàn ngầm, Rhadamanthys tiếp tục phát triển qua từng phiên bản, tích hợp các khả năng mới như process injection (tiêm mã vào các tiến trình hợp pháp) và trích xuất seed phrase của tiền điện tử bằng AI từ hình ảnh, như đã thấy trong các bản cập nhật từ phiên bản 0.5.0 đến 0.7.0. Khả năng ngụy trang thành phần mềm hợp pháp của nó, thường thông qua các domain lừa đảo (phishing domains), lỗi đánh máy (typosquatting) và tệp đính kèm độc hại, làm tăng phạm vi tiếp cận của mã độc này.
Việc lạm dụng ClickFix Captcha như một vector phân phối làm nổi bật một xu hướng nguy hiểm là sự kết hợp giữa sự tinh vi về kỹ thuật và kỹ thuật xã hội, giúp mã độc vượt qua hiệu quả các lớp bảo mật cơ bản.
Phòng thủ và Giảm thiểu
Các nhà phòng thủ cần tăng cường nhận thức của người dùng về các mối đe dọa kỹ thuật xã hội, thắt chặt việc lọc web và liên tục giám sát các dấu hiệu của việc thực thi không cần file (fileless execution) và lưu lượng truy cập đáng ngờ đi ra bên ngoài. Một Sigma rule tùy chỉnh để phát hiện hoạt động của Rhadamanthys, tập trung vào các bất thường của PowerShell và các mẫu truy cập registry, cung cấp một điểm khởi đầu cho các thợ săn mối đe dọa. Khi tội phạm mạng tinh chỉnh các chiến thuật của chúng, phòng thủ chủ động và giám sát liên tục vẫn là yếu tố then chốt để bảo vệ dữ liệu nhạy cảm chống lại chủng mã độc đánh cắp thông tin lén lút này.
Chỉ số Nhận dạng Mã độc (Indicators of Compromise – IOCs)
Dưới đây là các chỉ số nhận dạng mã độc (IOCs) liên quan đến chiến dịch Rhadamanthys Stealer và phương thức ClickFix Captcha:
- Domain Lừa đảo:
hxxps://ypp-studio[.]com - URL Tải payload phụ:
hxxps://ypp-studio[.]com/update.txt - URL Tải xuống mã độc (MSI):
http://62.60.226.74/PTRFHDGS.msi - Đường dẫn lưu mã độc:
%AppData%\\PTRFHDGS.msi - Tên mã độc/Tệp thực thi (Phiên bản mới):
rh_0.9.0.exe - URL Dropper cũ:
http://77.239.96.51/rh_0.9.0.exe - Địa chỉ IP C2:
193.109.85.136 - Các tiến trình bị kiểm tra/đen:
OllyDbg.exeWireshark.exe
