Các tác nhân đe dọa đã khôi phục chiến dịch sử dụng mã độc VIP keylogger tinh vi, từng được phân tích chi tiết trước đây về khả năng xâm nhập hệ thống. Mã độc này sử dụng kỹ thuật spear-phishing và steganography để đánh cắp dữ liệu từ trình duyệt web và thông tin đăng nhập của người dùng.
Cơ chế Phân phối và Lây nhiễm VIP Keylogger
Phiên bản hiện tại của VIP keylogger sử dụng một injector dựa trên AutoIt để triển khai payload cuối cùng. Điều này đánh dấu một sự thay đổi so với các phương pháp trước đây.
Tuy nhiên, các chức năng đánh cắp dữ liệu cốt lõi vẫn được duy trì. Chúng bao gồm ghi lại thao tác bàn phím (keystroke logging), thu thập thông tin đăng nhập từ các trình duyệt như Chrome, Microsoft Edge, và Mozilla Firefox, cũng như giám sát clipboard.
Khai thác thông qua Email Phishing
Việc phân phối mã độc dựa vào các email lừa đảo (phishing emails) chứa tệp đính kèm độc hại. Kẻ tấn công lợi dụng sự tin tưởng của người dùng để thực thi payload.
Payload sau đó tận dụng khả năng xáo trộn (obfuscation) của AutoIt để vượt qua các công cụ phát hiện của phần mềm chống virus truyền thống. Điều này được thực hiện bằng cách biên dịch script thành các tệp thực thi.
Chiến dịch phishing này là một mối đe dọa mạng đáng chú ý, nhấn mạnh sự nguy hiểm của các email giả mạo.
Chuỗi Lây nhiễm Chi tiết
Chuỗi lây nhiễm bắt đầu bằng một email spear-phishing chứa tệp nén ZIP có tên “payment receipt_USD 86,780.00.pdf.pdf.z”.
Bên trong tệp nén này là một tệp thực thi được ngụy trang thành tài liệu PDF hợp pháp, có tên “payment receipt_USD 86,780.00 pdf.exe”.
Khi được thực thi, tệp này kích hoạt một script AutoIt nhúng. Script này sẽ thả hai tệp đã mã hóa là leucoryx và avenes vào thư mục tạm thời của hệ thống.
Theo báo cáo từ Seqrite (Nguồn tin cậy), các tệp này được giải mã trong thời gian chạy bằng một hàm XOR tùy chỉnh có tên KHIXTKVLO.
Tệp leucoryx cung cấp khóa giải mã cho quá trình này.
Script sau đó cấp phát bộ nhớ thực thi thông qua DllCall. Tiếp theo, nó sao chép payload đã giải mã vào vùng bộ nhớ này và thực thi trực tiếp trong bộ nhớ, đảm bảo hoạt động tàng hình.
Đặc biệt, tệp avenes được nạp vào bộ nhớ và xử lý thông qua một quy trình giải mã. Quy trình này liên tục giải nén payload VIP keylogger dựa trên .NET được nhúng. Các bản ghi bộ nhớ đã tiết lộ nội dung được giải mã này.
Cơ chế Duy trì Quyền truy cập và Trốn tránh Phát hiện
Kỹ thuật Duy trì Quyền truy cập
Để duy trì quyền truy cập (persistence), mã độc VIP keylogger triển khai một script Visual Basic (.vbs) trong thư mục Startup.
Script này tự động thực thi payload chính definitiveness.exe khi người dùng đăng nhập. Payload chính nằm trong thư mục “AppData\Local\Dunlop”, cho phép hoạt động âm thầm dưới nền sau khi khởi động lại hệ thống.
Kỹ thuật Trốn tránh Phát hiện: Process Hollowing
Mã độc áp dụng kỹ thuật process hollowing để che giấu hoạt động của mình. Nó tạo tiến trình RegSvcs.exe ở trạng thái tạm dừng thông qua CreateProcess.
Sau đó, mã gốc của RegSvcs.exe bị gỡ ánh xạ. Payload VIP keylogger đã giải mã được chèn vào không gian địa chỉ của tiến trình này trước khi tiến trình được tiếp tục thực thi.
Kỹ thuật này cho phép mã độc ngụy trang thành một tiến trình hệ thống hợp pháp. Mã được chèn chứa các chuỗi cho thấy các chức năng của keylogger.
Chức năng Payload và Đánh cắp Dữ liệu
Payload cuối cùng của VIP keylogger, đã được phân tích toàn diện trong một tài liệu kỹ thuật trước đây, hỗ trợ đánh cắp dữ liệu thông qua giao thức SMTP.
Nó cũng thiết lập giao tiếp với máy chủ điều khiển và chỉ huy (command-and-control server – C2), nhấn mạnh khả năng đánh cắp đa giai đoạn của nó.
Chiến dịch này nêu bật sự tinh vi ngày càng tăng của các tác nhân đe dọa trong việc kết hợp kỹ thuật xã hội với các chiến thuật né tránh tiên tiến.
Chỉ số Nhận dạng Nguy hiểm (IOCs)
Các chỉ số nhận dạng nguy hiểm liên quan đến chiến dịch mã độc VIP keylogger này bao gồm:
- Tên tệp nén ban đầu: payment receipt_USD 86,780.00.pdf.pdf.z
- Tên tệp thực thi ngụy trang: payment receipt_USD 86,780.00 pdf.exe
- Tên tệp mã hóa được thả: leucoryx
- Tên tệp mã hóa được thả: avenes
- Hàm giải mã tùy chỉnh: KHIXTKVLO
- Đường dẫn duy trì quyền truy cập: AppData\Local\Dunlop\definitiveness.exe
- Tên tiến trình bị lợi dụng (Process Hollowing): RegSvcs.exe
Đánh giá Mối đe dọa và Khuyến nghị Phòng ngừa
Chiến dịch tấn công mạng này làm nổi bật mối đe dọa mạng liên tục và sự kết hợp giữa kỹ thuật xã hội với các chiến thuật né tránh nâng cao. Để giảm thiểu rủi ro từ các cuộc tấn công mạng như vậy, các tổ chức cần tăng cường các biện pháp phòng vệ.
Các biện pháp khuyến nghị bao gồm cải thiện khả năng lọc email, tăng cường phát hiện trên điểm cuối (endpoint detection) và phân tích hành vi. Những điều này giúp nâng cao an ninh mạng tổng thể trước các mối đe dọa phức tạp.
