Các chiến dịch tấn công phishing tinh vi đang sử dụng email hóa đơn giả mạo để phát tán mã độc Backdoor.XWorm. Trojan truy cập từ xa (RAT) nguy hiểm này có khả năng đánh cắp thông tin đăng nhập nhạy cảm, ghi lại thao tác bàn phím, và cài đặt ransomware. Các nhà nghiên cứu bảo mật đã phát hiện một hoạt động phân phối mã độc đang diễn ra, sử dụng tệp đính kèm Visual Basic Script (VBS) ngụy trang dưới dạng thư tín kinh doanh thông thường. Điều này thể hiện sự phát triển nguy hiểm của các chiến thuật kỹ thuật xã hội, khai thác lòng tin nơi công sở.

Phân tích Kỹ thuật Chuỗi Tấn Công Mạng

Chiến thuật Phishing qua Email Giả mạo

Cuộc tấn công bắt đầu bằng một email có vẻ chuyên nghiệp, mô phỏng giao tiếp kinh doanh tiêu chuẩn. Nạn nhân nhận được tin nhắn với dòng tiêu đề liên quan đến việc xử lý hóa đơn và xác nhận thanh toán, kèm theo ngôn ngữ lịch sự yêu cầu xác minh. Ví dụ, email thường có nội dung: “Please find attached the list of invoices we have processed and payment has been made… Kindly review and confirm that these have been received on your end.”

Tuy nhiên, có nhiều dấu hiệu cảnh báo rõ ràng ngay lập tức phơi bày bản chất lừa đảo của những email này:

• Lời chào chung chung: Lời chào không có thông tin cá nhân hóa, chỉ là “Hi” chung chung mà không có tên người nhận cụ thể.
• Chữ ký thiếu thông tin: Dòng chữ ký chỉ xác định người gửi là “Account Officer,” không có thông tin liên hệ cụ thể, chi tiết công ty, hoặc số điện thoại mà một thư tín kinh doanh hợp lệ sẽ bao gồm.
• Tệp đính kèm .vbs: Quan trọng nhất, tệp đính kèm sử dụng tiện ích mở rộng .vbs (Visual Basic Script). Các tệp VBS đã gần như lỗi thời trong môi trường kinh doanh hơn hai thập kỷ.

Khai thác Tệp VBS lỗi thời

Ban đầu, VBS được thiết kế như một công cụ tự động hóa của Windows vào cuối những năm 1990 và đầu những năm 2000. Kể từ đó, nó đã được thay thế bằng các ngôn ngữ script hiện đại hơn như PowerShell. Hiện nay, hầu hết các cổng email doanh nghiệp đều chặn tệp đính kèm .vbs theo mặc định vì chúng có thể thực thi mã độc ngay lập tức khi mở.

Sự tái xuất hiện của các vector tấn công cũ như Visual Basic Script cho thấy tội phạm mạng tiếp tục khai thác các công nghệ lỗi thời. Lý do là nhiều tổ chức đã giảm ưu tiên phòng thủ chống lại các mối đe dọa “lạc hậu”.

Chuỗi Lây nhiễm và Tấn công Fileless

Ngay sau khi nạn nhân mở tệp .vbs đính kèm, một chuỗi lây nhiễm tinh vi sẽ kích hoạt âm thầm ở chế độ nền. Kịch bản độc hại này thả một tệp batch có tên IrisBud.bat vào thư mục tạm thời của Windows và thực thi nó bằng cách sử dụng Windows Management Instrumentation (WMI). Kỹ thuật này giúp mã độc thực thi các tác vụ hệ thống một cách hiệu quả và ít bị phát hiện.

Tệp batch này ngay lập tức tự khởi động lại trong một cửa sổ vô hình để tránh bị phát hiện. Sau đó, nó tự sao chép vào thư mục hồ sơ người dùng dưới dạng aoc.bat. Kịch bản batch này được mã hóa phức tạp và đóng vai trò là một loader. Nó khởi chạy một lệnh PowerShell để giải mã dữ liệu payload được mã hóa ẩn bên trong tệp batch đó.

Sử dụng mã hóa AES với khóa cứng và nén GZip, mã độc giải nén và tải các tệp thực thi trực tiếp vào bộ nhớ hệ thống. Kỹ thuật này được gọi là tấn công fileless (không tệp). Phương pháp này bỏ qua việc quét tệp đĩa của các phần mềm chống virus truyền thống, khiến việc phát hiện trở nên khó khăn hơn.

# Mô tả chuỗi thực thi mã độc
Khởi tạo .vbs -> Thả và thực thi IrisBud.bat
IrisBud.bat (ẩn) -> Sao chép thành aoc.bat
aoc.bat -> Khởi chạy PowerShell (giải mã và tải payload)
PowerShell -> Giải mã AES/GZip -> Tải Backdoor.XWorm vào bộ nhớ

Nguy cơ từ mã độc Backdoor.XWorm

Payload cuối cùng là Backdoor.XWorm, một nền tảng malware-as-a-service (MaaS) thương mại. Mã độc này được bán hoặc cho thuê cho tội phạm mạng trên các diễn đàn ngầm. XWorm cấp cho kẻ tấn công quyền kiểm soát từ xa hoàn toàn đối với các máy bị nhiễm, cho phép chúng thực hiện nhiều hành vi độc hại như:

• Đánh cắp thông tin đăng nhập nhạy cảm từ các trình duyệt web, ứng dụng email, và các dịch vụ khác.
• Ghi lại thao tác bàn phím (keylogging) để thu thập mật khẩu, thông tin cá nhân, và dữ liệu nhạy cảm.
• Thực thi lệnh tùy ý trên hệ thống từ xa, tạo điều kiện cho các cuộc tấn công tiếp theo hoặc cài đặt mã độc bổ sung.
• Cài đặt ransomware, mã hóa dữ liệu người dùng và yêu cầu tiền chuộc.
• Kiểm soát webcam và microphone, theo dõi nạn nhân.
• Truy cập và exfiltrate dữ liệu từ hệ thống.

Tất cả các hoạt động độc hại này đều xảy ra âm thầm, không có cửa sổ hiển thị hoặc cảnh báo bảo mật. Điều này khiến việc phát hiện cực kỳ khó khăn đối với những nạn nhân không nghi ngờ. Để biết thêm chi tiết về mã độc này, bạn có thể tham khảo thêm tại Malwarebytes Blog.

Chỉ số Nhận diện và Biện pháp Phòng ngừa

Dấu hiệu Đỏ cần lưu ý

Các chuyên gia an ninh mạng nhấn mạnh một số chỉ số quan trọng cần ngay lập tức gây nghi ngờ khi nhận được email hóa đơn không mong muốn:

• Giao tiếp chung chung: Hóa đơn kinh doanh hợp lệ bao gồm tên người nhận cụ thể, thông tin công ty chi tiết, số tài khoản, và thông tin liên hệ trực tiếp. Lời chào mơ hồ và chữ ký chung chung như “Account Officer” hoặc “Finance Team” là những dấu hiệu đáng ngờ lớn.
• Tệp đính kèm thực thi: Các công ty xác thực không bao giờ gửi tệp có tiện ích mở rộng như .exe, .vbs, .bat, .scr, hoặc các định dạng thực thi khác qua email. Hóa đơn hợp pháp thường đến dưới dạng tài liệu PDF hoặc có thể truy cập thông qua các cổng trực tuyến an toàn.
• Tiện ích mở rộng kép: Kẻ tấn công thường ẩn loại tệp độc hại bằng cách sử dụng tên như “invoice.pdf.vbs”. Tệp này sẽ hiển thị là “invoice.pdf” khi các tiện ích mở rộng tệp của Windows bị ẩn. Người dùng nên bật hiển thị tiện ích mở rộng tệp trong Windows Explorer để nhận diện những hành vi lừa đảo này.
• Yêu cầu không được yêu cầu: Nếu bạn không mong đợi một thông báo hóa đơn hoặc thanh toán, hãy xác minh tính xác thực của nó bằng cách liên hệ với người gửi thông qua thông tin liên hệ đáng tin cậy đã biết. Tuyệt đối không trả lời trực tiếp email đáng ngờ đó.

Biện pháp Phòng thủ Đa tầng

Để chống lại các chiến dịch tấn công phishing và các mối đe dọa liên quan đến mã độc Backdoor.XWorm, các chuyên gia an ninh mạng khuyến nghị một cách tiếp cận phòng thủ đa tầng:

• Kích hoạt lọc email toàn diện: Hệ thống lọc cần chặn các tệp đính kèm thực thi và quét các chữ ký mã độc đã biết trước khi tin nhắn đến hộp thư người dùng.
• Triển khai giải pháp chống mã độc theo thời gian thực: Sử dụng các giải pháp anti-malware với module bảo vệ web. Các giải pháp này có khả năng phát hiện các cuộc tấn công fileless và các bất thường hành vi cho thấy nhiễm RAT.
• Thực hiện đào tạo nhận thức bảo mật: Giáo dục nhân viên về các chiến thuật phishing, kỹ thuật kỹ thuật xã hội, và quy trình xác minh thích hợp cho các giao tiếp không mong muốn. Điều này nâng cao khả năng tự bảo vệ của người dùng.
• Cấu hình Windows để hiển thị tiện ích mở rộng tệp: Điều này giúp người dùng có thể nhận diện các tệp thực thi ngụy trang đang cố gắng giả mạo tài liệu.

Ví dụ cấu hình hiển thị tiện ích mở rộng trong Windows:

# Mở File Explorer
# Chọn tab "View" (Xem)
# Trong nhóm "Show/hide" (Hiện/ẩn), đánh dấu vào ô "File name extensions" (Phần mở rộng tên tệp)

Vì các trường hợp nhiễm XWorm có thể dẫn đến việc hệ thống bị xâm nhập hoàn toàn, đánh cắp dữ liệu và triển khai ransomware, việc duy trì cảnh giác đối với tất cả các mối đe dọa qua email – bất kể mức độ tinh vi rõ ràng của chúng – vẫn là điều cần thiết để đảm bảo bảo mật thông tin của tổ chức.