Buzz
- Một chiến dịch mới đang lan truyền mã độc, giả mạo các thông báo lỗi từ Google Chrome, Word và OneDrive để thuyết phục người dùng chạy các lệnh PowerShell độc hại để cài đặt phần mềm độc hại.
Chiến dịch này liên quan đến nhiều tác nhân đe dọa, bao gồm những kẻ đứng sau ClearFake - một nhóm tấn công mới có tên là ClickFix và TA571, nhóm đe dọa nổi tiếng gửi thư rác, gây lây nhiễm phần mềm độc hại và ransomware.
Các cuộc tấn công ClearFake trước đây đã sử dụng lớp phủ trang web để lừa mục tiêu cài đặt bản cập nhật trình duyệt giả mạo, dẫn đến lây nhiễm phần mềm độc hại.
Các tác nhân đe dọa cũng sử dụng JavaScript trong các tệp đính kèm HTML và xâm nhập các trang web trong các cuộc tấn công mới. Các cuộc tấn công overlay hiển thị thông báo lỗi giả mạo của Google Chrome, Microsoft Word và OneDrive.
Những lỗi này khuyên người dùng nhấp vào nút để sao chép 'bản vá' PowerShell vào clipboard, sau đó dán và thực thi trong hộp thoại Run hoặc PowerShell prompt.
Mặc dù chuỗi tấn công yêu cầu sự tương tác đáng kể từ người dùng để thành công, nhưng kẻ tấn công có thể sử dụng kỹ thuật xã hội để thao túng hành động của người dùng mà không cần suy nghĩ về rủi ro, cảnh báo từ nhà nghiên cứu bảo mật của ProofPoint.
Các loại phần mềm độc hại mà Proofpoint đã phát hiện bao gồm DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig và Lumma Stealer.
Các chuỗi lây nhiễm mã độc
Proofpoint đã phát hiện ba chuỗi tấn công khác nhau trong chiến dịch phát tán mã độc mới này.
Trong trường hợp đầu tiên, các kẻ tấn công đằng sau ClearFake đã xâm nhập vào một trang web để tải xuống tập lệnh độc hại được lưu trữ trên blockchain thông qua các hợp đồng 'Smart Chain' của Binance.
Tập lệnh này thực hiện một số kiểm tra và hiển thị thông báo giả mạo từ Google Chrome cho biết có sự cố khi hiển thị trang web. Sau đó, hộp thoại sẽ yêu cầu người dùng cài đặt 'root certificate' bằng cách sao chép tập lệnh PowerShell vào clipboard của Windows và chạy nó trong cửa sổ PowerShell với quyền quản trị viên.
Thông báo lỗi giả mạo của Google Chrome
Khi được thực thi, tập lệnh PowerShell sẽ thực hiện nhiều bước khác nhau để xác minh thiết bị là mục tiêu hợp lệ và sau đó tải xuống các payload bổ sung. Các bước này bao gồm:
- Xóa bộ đệm của DNS.
- Xoá nội dung trong clipboard.
- Hiển thị tin nhắn mồi nhử.
- Tải xuống tập lệnh PowerShell khác để thực hiện các kiểm tra chống máy ảo trước khi tải xuống phần mềm đánh cắp thông tin.
Chiến dịch 'ClickFix' đang lạm dụng các trang web bị xâm phạm để tạo một iframe giả mạo thông báo lỗi Google Chrome khác.
Cuối cùng, chuỗi lây nhiễm qua email sử dụng tệp HTML giống với tài liệu Microsoft Word để nhắc người dùng cài đặt tiện ích 'Word Online' để xem tài liệu.
Thông báo lỗi cung cấp tùy chọn 'Cách khắc phục' và 'Tự động vá', trong đó 'Cách khắc phục' sao chép lệnh PowerShell đã mã hóa base64 vào clipboard, hướng dẫn người dùng dán lệnh vào PowerShell.
Thông báo về lỗi giả mạo của Microsoft Word
Trong trường hợp này, các lệnh PowerShell được tải xuống và thực thi tệp MSI hoặc VBS, dẫn đến việc lây nhiễm mã độc Matanbuchus hoặc DarkGate tương ứng.
Trong mọi trường hợp, kẻ tấn công khai thác sự thiếu cảnh giác của mục tiêu đối với các rủi ro khi thực thi lệnh PowerShell trên hệ thống của họ và tận dụng sự vô hiệu của Windows trong việc phát hiện và ngăn chặn các hành động độc hại từ mã dán.
Các loạt tấn công khác nhau chỉ ra rằng TA571 đang thử nghiệm nhiều phương pháp để tăng tỷ lệ thành công và tìm ra nhiều cách thâm nhập hơn để xâm nhập vào nhiều hệ thống hơn.
Để tự bảo vệ trước các chiến dịch độc hại như vậy, người dùng nên luôn cảnh giác khi nhận được email lạ hoặc thông báo lỗi/thông báo cập nhật đáng ngờ, tuyệt đối KHÔNG nhấp vào liên kết hoặc mở tệp đính kèm từ các nguồn không đáng tin cậy. Người dùng chỉ nên cài đặt các bản cập nhật phần mềm từ nguồn chính thức như trang web của nhà cung cấp hoặc qua tính năng cập nhật tự động của phần mềm.
