Các nhà nghiên cứu an ninh mạng tại Hybrid Analysis đã phát hiện một chiến dịch malware hai giai đoạn tinh vi, nhắm mục tiêu vào người dùng ví tiền điện tử và dữ liệu trình duyệt. Cặp mã độc LeakyInjector và LeakyStealer mới được xác định này đe dọa nghiêm trọng đến an ninh tài sản kỹ thuật số thông qua các kỹ thuật lẩn tránh tiên tiến và khả năng trộm cắp dữ liệu toàn diện.

Chiến dịch này cho thấy sự phát triển trong các mối đe dọa mạng, nơi kẻ tấn công kết hợp nhiều công cụ để đạt được mục tiêu.

Phân tích kỹ thuật mã độc LeakyInjector và LeakyStealer

Chiến dịch này sử dụng một cấu trúc hai giai đoạn, với LeakyInjector đóng vai trò là vector lây nhiễm ban đầu và LeakyStealer là module thực hiện việc trích xuất dữ liệu.

Giai đoạn lây nhiễm ban đầu: LeakyInjector

LeakyInjector khởi đầu cuộc tấn công bằng cách sử dụng các API Windows cấp thấp. Thành phần này đóng vai trò quan trọng trong việc thiết lập chỗ đứng ban đầu trên hệ thống.

Mã độc này được thiết kế để tiêm payload vào tiến trình explorer.exe hợp pháp. Phương pháp tiêm này giúp mã độc LeakyInjector tránh bị phát hiện bởi phần mềm bảo mật giám sát việc tạo tiến trình tiêu chuẩn.

Sau khi tiêm, LeakyInjector lưu trữ LeakyStealer ở định dạng được mã hóa. Thuật toán được sử dụng để mã hóa là ChaCha20. Sau đó, nó giải mã và triển khai LeakyStealer vào hệ thống mục tiêu, sẵn sàng cho giai đoạn trộm cắp dữ liệu.

Kỹ thuật né tránh và duy trì quyền truy cập

Cả hai thành phần của mã độc LeakyInjector và LeakyStealer đều được ký bằng chứng chỉ Extended Validation (EV) hợp lệ. Các chứng chỉ này được cấp cho Hefei Nudan Jukuang Network Technology Co., Ltd., tạo cho chúng tính hợp pháp giả mạo để vượt qua các kiểm tra bảo mật ban đầu.

Để đảm bảo tính bền vững, malware thiết lập một cơ chế tự khởi động. Nó sao chép chính nó thành tệp có tên “MicrosoftEdgeUpdateCore.exe”. Tệp này được đặt trong thư mục %AppData% của người dùng.

Đồng thời, mã độc tạo một mục registry dưới khóa Run trong HKEY_CURRENT_USER. Mục này có tên là EdgeUpdateCore, trỏ đến tệp đã sao chép.

Việc giả mạo thành một thành phần cập nhật của Microsoft Edge cho phép malware tự động chạy khi khởi động hệ thống. Điều này giúp tránh gây nghi ngờ cho người dùng ngay lập tức và duy trì sự hiện diện trên hệ thống.

Mục tiêu đánh cắp dữ liệu của LeakyStealer

LeakyStealer tập trung rộng rãi vào các tài sản tiền điện tử. Nó quét các hệ thống bị nhiễm để tìm kiếm các ứng dụng ví tiền điện tử phổ biến được cài đặt.

Các ví tiền điện tử được nhắm mục tiêu bao gồm:

• Electrum
• Exodus
• Atomic
• Sparrow
• Ledger Live
• Guarda
• BitPay

Mã độc còn mở rộng phạm vi sang các tiện ích mở rộng ví tiền điện tử dựa trên trình duyệt. Các tiện ích này đã trở nên ngày càng phổ biến đối với người dùng crypto.

Các tiện ích mở rộng được nhắm mục tiêu bao gồm:

• MetaMask
• Phantom
• Coinbase Wallet
• Trust Wallet

Ngoài việc trộm cắp tiền điện tử, mã độc LeakyInjector còn cho phép LeakyStealer thu thập các tệp lịch sử trình duyệt từ các ứng dụng sau:

• Google Chrome
• Microsoft Edge
• Brave
• Opera
• Vivaldi

Dữ liệu duyệt web này có thể tiết lộ các tài khoản tài chính, nền tảng giao dịch và thông tin nhạy cảm khác, có giá trị cao đối với kẻ tấn công. Đây là một phương pháp đánh cắp dữ liệu rộng rãi và hiệu quả.

Kỹ thuật lẩn tránh phát hiện và giao tiếp C2

LeakyStealer triển khai một công cụ đa hình (polymorphic engine) tiên tiến. Công cụ này tự động điều chỉnh dấu chân bộ nhớ của nó bằng cách sử dụng các chuỗi byte được mã hóa cứng.

Kỹ thuật này nhằm mục đích né tránh các hệ thống phát hiện dựa trên bộ nhớ, vốn thường dựa vào các chữ ký tĩnh. Việc thay đổi dấu chân liên tục khiến việc phát hiện trở nên khó khăn hơn.

Malware tính toán một Bot ID duy nhất cho mỗi máy bị nhiễm. Nó thực hiện điều này bằng cách XOR số seri volume của ổ đĩa C với một giá trị không đổi. Điều này cho phép kẻ tấn công theo dõi từng nạn nhân riêng lẻ và quản lý chiến dịch một cách hiệu quả.

Thông tin bị đánh cắp được truyền ra ngoài đến máy chủ command-and-control (C2) tại Everstead. Nhóm tin tặc thực hiện việc này thông qua các yêu cầu HTTP POST. Các yêu cầu này sử dụng các tác nhân người dùng (user agents) liên quan đến trình duyệt để hòa trộn với lưu lượng web thông thường, giảm khả năng bị phát hiện.

Malware duy trì liên lạc thường xuyên với máy chủ C2 của nó, báo hiệu định kỳ để nhận lệnh và trích xuất dữ liệu bị đánh cắp. LeakyStealer bao gồm hai lệnh backdoor cho phép kẻ tấn công từ xa tải xuống và thực thi các tệp bổ sung hoặc chạy các lệnh Windows trên các hệ thống bị xâm phạm.

Các nhà nghiên cứu bảo mật đã xác định bảy mẫu liên quan sử dụng cùng cơ sở hạ tầng chứng chỉ. Điều này cho thấy một chiến dịch đang diễn ra tích cực, nhắm mục tiêu vào người dùng tiền điện tử trên toàn thế giới. Để biết thêm chi tiết, tham khảo phân tích từ Hybrid Analysis: LeakyInjector and LeakyStealer Duo.

Chỉ số lây nhiễm (IOCs)

Các chỉ số lây nhiễm sau đây đã được xác định liên quan đến chiến dịch mã độc LeakyInjector và LeakyStealer. Việc giám sát các chỉ số này có thể hỗ trợ phát hiện xâm nhập và phòng ngừa.

Hash SHA256

9b8bd9550e8fdb0ca1482f801121113b364e590349922a3f7936b2a7b6741e82
88e0c1652eb91c517a5fec9d356c7f30c0136d544f5d55ac37f20c5612134efb

Tệp được tạo

%AppData%MicrosoftEdgeUpdateCore.exe
C:Users<User>AppDataLocalTemphistory_%d.db

Giá trị Registry

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunEdgeUpdateCore

Máy chủ Command-and-Control (C2)

everstead[.]group