Tin tặc lạm dụng Google ads để phát tán mã độc ảo hóa có khả năng lẩn tránh các hệ thống phát hiện

Một chiến dịch quảng cáo độc hại lạm dụng Google ads mới được phát hiện đang phát tán các phần mềm độc hại sử dụng công nghệ ảo hóa KoiVM để tránh bị phát hiện khi cài đặt công cụ đánh cắp dữ liệu Formbook.

KoiVM là một plugin dành cho phần mềm bảo vệ ConfuserEx.NET giúp xáo trộn (obfuscates) mã opcode của chương trình để chỉ máy ảo hiểu được. Sau đó, khi được khởi chạy, máy ảo sẽ chuyển các opcode về dạng ban đầu để ứng dụng có thể được thực thi.

Khi được sử dụng cho mục đích xấu, ảo hóa khiến việc phân tích phần mềm độc hại trở nên khó khăn.

Trong một chiến dịch quảng cáo Google do Sentinel Labs phát hiện, các tác nhân đe dọa đang phát tán phần mềm đánh cắp thông tin Formbook thông qua phần mềm loaders (được thiết kế để triển khai các phần mềm khác sau khi nó được cài đặt) ảo hóa có tên 'MalVirt'. Công cụ này cho phép triển khai các payload độc hại mà không kích hoạt các cảnh báo chống vi-rút.

Sentinel Labs cho biết rằng mặc dù ảo hóa KoiVM phổ biến đối với các công cụ tấn công và bẻ khóa, nhưng nó hiếm khi được sử dụng trong phát tán phần mềm độc hại. Việc sử dụng nó có thể là một trong nhiều tác dụng phụ của việc Microsoft vô hiệu hóa các macro trong Office.

Lạm dụng quảng cáo tìm kiếm của Google

Trong tháng qua, các nhà nghiên cứu đã nhận thấy việc lạm dụng quảng cáo tìm kiếm của Google để phát tán các phần mềm độc hại ngày càng tăng, bao gồm RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys chômer, IcedID, Raccoon Stealer, v.v.

Trong chiến dịch mới mà SentinelLabs phát hiện, những kẻ đe dọa đang phát tán MalVirt loaders trong các quảng cáo giả vờ là quảng cáo cho phần mềm Blender 3D.

Kết quả tìm kiếm độc hại trên Google (Sentinel Labs)

Các bản tải xuống từ các trang web giả mạo này sử dụng chữ ký số không hợp lệ mạo danh Microsoft, Acer, DigiCert, Sectigo và AVG Technologies USA.

Mặc dù chữ ký không hợp lệ sẽ không lừa được Windows xác nhận nó đã ký (signed), nhưng mã độc MalVirt vẫn tích hợp các tính năng để tránh bị phát hiện bởi các công cụ quét mã độc như Anti Malware Scan Interface cũng như các cơ chế phát hiện tĩnh.

Mã độc cũng có thể phát hiện xem chúng có chạy trong môi trường ảo hóa hay không bằng cách truy vấn các khóa registry cụ thể và nếu có, quá trình thực thi sẽ dừng lại để tránh bị phân tích.

MalVirt còn sử dụng một driver Microsoft Process Explorer đã được ký được tải khi khởi động hệ thống cho phép nó sửa đổi các tiến trình (process) đang chạy để tránh bị phát hiện.

Để tránh bị giải mã (decompilation), MalVirt loaders sử dụng phiên bản KoiVM đã sửa đổi, bổ sung các lớp che giấu (obfuscation layer). Điều này khiến việc giải mã trở nên khó khăn hơn, đòi hỏi nhiều phân tích thủ công do các công cụ tự động hiện có không thể hỗ trợ được.

Việc triển khai KoiVM tùy chỉnh này gây nhầm lẫn cho các framework ảo hóa chuẩn như 'OldRod' bằng cách làm xáo trộn mã của nó thông qua các phép toán số học thay vì sử dụng các phép gán đơn giản.

Che dấu cơ sở hạ tầng

Ngoài các tính năng tránh bị phát hiện ở trên, Formbook còn sử dụng một thủ thuật mới - trộn các lưu lượng truy cập thực của nó với các gói tin HTTP khác nhau có nội dung được mã hóa (encrypted và encoded), để che giấu địa chỉ IP và lưu lượng truy cập của nó.

Formbook kết nối với các IP đó một cách ngẫu nhiên. Trong các mẫu được SentinelLabs phân tích, Formbook đã kết nối đến 17 domain, chỉ một trong số đó là máy chủ điều khiển tấn công, phần còn lại chỉ để gây nhầm lẫn cho các công cụ giám sát lưu lượng mạng.

Các phân tích này cho thấy những kẻ đứng sau phần mềm độc hại khá quan tâm đến việc giúp nó che dấu tốt hơn trước các công cụ bảo mật và các nhà phân tích.

Không biết liệu các tác nhân đe dọa có hoàn toàn phát tán mã độc Formbook thông qua quảng cáo tìm kiếm của Google hay không, nhưng đây là một ví dụ nhắc nhở người dùng cần hết sức cẩn thận với các liên kết mà họ nhấp vào trong kết quả tìm kiếm.

Nguồn: bleepingcomputer.com.