Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các tập lệnh PowerShell độc hại nhằm cài đặt phần mềm độc hại.
Chiến dịch này liên quan đến nhiều tác nhân đe dọa, bao gồm những kẻ đứng sau ClearFake - một nhóm tấn công mới có tên ClickFix và TA571, nhóm đe dọa được biết đến với việc gửi lượng lớn thư (email) rác, dẫn đến lây nhiễm phần mềm độc hại và ransomware.
Các cuộc tấn công ClearFake trước đây sử dụng lớp phủ (website overlay) để lừa mục tiêu cài đặt bản cập nhật trình duyệt giả mạo dẫn đến lây nhiễm phần mềm độc hại.
Các tác nhân đe dọa cũng sử dụng JavaScript trong tệp đính kèm HTML và các trang web bị xâm nhập trong các cuộc tấn công mới. Các cuộc tấn công overlay hiển thị các thông báo lỗi giả mạo của Google Chrome, Microsoft Word và OneDrive.
Những lỗi này nhắc khách truy cập nhấp vào nút để sao chép "bản vá" PowerShell vào vùng nhớ tạm (clipboard), sau đó dán và thực thi nó trong hộp thoại Run hoặc PowerShell prompt.
“Mặc dù chuỗi tấn công đòi hỏi sự tương tác đáng kể từ người dùng để thành công, tuy nhiên kẻ tấn công có thể kết hợp social engineering để thao túng người dùng hành động mà không cân nhắc rủi ro”, nhà nghiên cứu bảo mật từ ProofPoint cảnh báo.
Các mẫu phần mềm độc hại mà Proofpoint phát hiện bao gồm DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig và Lumma Stealer.
Các chuỗi lây nhiễm mã độc
Proofpoint đã phát hiện ba chuỗi tấn công khác nhau trong chiến dịch phát tán mã độc mới này.
Trường hợp đầu tiên liên quan đến các tác nhân đe dọa đằng sau ClearFake, người dùng truy cập một trang web bị xâm nhập để tải tập lệnh độc hại được lưu trữ trên blockchain thông qua các ‘Smart Chain contract’ của Binance.
Tập lệnh này thực hiện một số kiểm tra và hiển thị cảnh báo giả mạo của Google Chrome cho biết có sự cố khi hiển thị trang web. Sau đó, hộp thoại sẽ nhắc người dùng cài đặt "root certificate" bằng cách sao chép tập lệnh PowerShell vào clipboard của Windows và chạy tập lệnh đó trong bảng điều khiển Windows PowerShell [với quyền quản trị viên/admin].
Thông báo lỗi Google Chrome giả mạo
Khi được thực thi, tập lệnh PowerShell sẽ thực hiện nhiều bước khác nhau để xác nhận thiết bị là mục tiêu hợp lệ và sau đó tải xuống các payload bổ sung. Các bước được thực hiện gồm có:
- Xóa bộ đệm DNS.
- Xóa nội dung clipboard.
- Hiển thị tin nhắn mồi nhử.
- Tải xuống tập lệnh PowerShell khác dùng để thực hiện các kiểm tra chống máy ảo (anti-VM) trước khi tải xuống phần mềm đánh cắp thông tin.
Chuỗi tấn công thứ hai liên quan đến chiến dịch 'ClickFix' đang lạm dụng các trang web bị xâm phạm để tạo một iframe nhằm phủ lên một thông báo lỗi Google Chrome giả mạo khác. Người dùng được hướng dẫn mở "Windows PowerShell (Admin)" và dán mã được cung cấp, dẫn đến các trường hợp lây nhiễm tương tự nêu trên.
Cuối cùng, chuỗi lây nhiễm dựa trên email sử dụng tệp đính kèm HTML giống với tài liệu Microsoft Word sẽ nhắc người dùng cài đặt tiện ích "Word Online" để xem tài liệu.
Thông báo lỗi cung cấp các tùy chọn "Cách khắc phục" (How to fix) và "Tự động vá" (Auto-fix), trong đó tùy chọn "Cách khắc phục" sao chép lệnh PowerShell được mã hóa base64 vào clipboard, hướng dẫn người dùng dán lệnh đó vào PowerShell. "Tự động vá" sử dụng giao thức search-ms để hiển thị tệp "fix.msi" hoặc "fix.vbs" được lưu trữ trên WebDAV trên một tệp chia sẻ do kẻ tấn công kiểm soát từ xa.
Thông báo lỗi Microsoft Word giả mạo
Trong trường hợp này, các lệnh PowerShell tải xuống và thực thi tệp MSI hoặc VBS, dẫn đến lây nhiễm mã độc Matanbuchus hoặc DarkGate tương ứng.
Trong mọi trường hợp, kẻ tấn công khai thác sự thiếu cảnh giác của mục tiêu về những rủi ro khi thực thi lệnh PowerShell trên hệ thống của họ và lợi dụng việc Windows không có khả năng phát hiện và ngăn chặn các hành động độc hại do mã dán gây ra.
Các chuỗi tấn công khác nhau cho thấy TA571 đang tiến hành thử nghiệm nhiều phương pháp để tăng tỉ lệ thành công và tìm nhiều cách lây nhiễm hơn nhằm xâm phạm số lượng lớn hơn các hệ thống.
Để bảo vệ mình trước các chiến dịch độc hại như vậy, người dùng luôn phải cảnh giác khi nhận được các email lạ hay thông báo lỗi/thông báo cập nhật đáng ngờ, tuyệt đối KHÔNG nhấp vào liên kết hoặc mở tệp đính kèm từ các nguồn không tin cậy. Người dùng chỉ nên cài đặt các bản cập nhật phần mềm từ nguồn chính thức như trang web của nhà cung cấp hoặc qua tính năng cập nhật tự động của phần mềm.
Nguồn: bleepingcomputer.com.
NHS England tiết lộ rằng nhiều bệnh viện ở London bị ảnh hưởng bởi cuộc tấn công ransomware vào Synnovis xảy ra vào đầu tháng này khiến phải hủy hàng trăm ca phẫu thuật và cuộc hẹn đã được lên kế hoạch.
Mới đây, quản lý của Arlington (Massachusetts, Hoa Kỳ) - ông Jim Feeney cho biết thị trấn đã phải chịu tổn thất về mặt tài chính sau khi mắc bẫy lừa đảo của một nhóm tin tặc mạo danh đơn vị cung cấp vật liệu xây dựng. Được biết, thị trấn đã bị lừa chuyển tiền theo định kỳ hàng tháng nhằm phục vụ cho quá trình xây dựng trường học.
Mới đây, chính quyền Ấn Độ đã cảnh báo về việc xuất hiện hình thức lừa đảo thông qua những tin nhắn mời gọi làm việc tại nhà, hứa hẹn người tham gia sẽ được trả mức lương vô cùng hấp dẫn.
Ngày 12/6, Công an tỉnh Thanh Hóa cho biết, Công an huyện Yên Định vừa điều tra, bắt giữ nhóm đối tượng chuyên lừa đảo, chiếm đoạt tài sản dưới hình thức cho số lô, số đề.
Hiện nay, tình trạng người dân bị các đối tượng tội phạm lừa đảo đầu tư chứng khoán quốc tế, tiền ảo, tiền kỹ thuật số nhằm chiếm đoạt tài sản với các chiêu thức, thủ đoạn hết sức tinh vi.
Công an TP Hà Nội thông tin vừa tiếp nhận trình báo của một người phụ nữ tên N (trú tại TP Hà Nội), về việc bị lừa mất số tiền gần 1,4 tỷ đồng sau khi tham gia dự án có tên “Vinpearl”.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
