Một chiến dịch tấn công phishing tinh vi và nguy hiểm mới đang nhắm mục tiêu vào các tổ chức. Chiến dịch này kết hợp kỹ thuật xã hội lừa đảo với cơ chế phân phối mã độc tiên tiến, tập trung vào chủ đề “Giải thưởng Điều hành” để thu hút nạn nhân.

Cuộc tấn công được thực hiện qua hai giai đoạn rõ rệt. Đầu tiên, người dùng bị lừa chia sẻ thông tin đăng nhập của họ thông qua một biểu mẫu HTML giả mạo. Sau đó, mã độc đánh cắp thông tin Stealerium được triển khai để xâm phạm sâu hơn vào các hệ thống bị ảnh hưởng.

Phân tích chiến dịch tấn công Phishing

Chiến dịch này minh họa một xu hướng ngày càng phổ biến trong các mối đe dọa mạng. Kẻ tấn công phối hợp đánh cắp thông tin đăng nhập và lây nhiễm mã độc trong một hoạt động duy nhất, có mục tiêu rõ ràng.

Phương pháp này cho phép thu thập dữ liệu nhạy cảm đồng thời thiết lập quyền truy cập lâu dài vào hệ thống mục tiêu. Điều này tạo ra một rủi ro bảo mật đáng kể cho các tổ chức.

Giai đoạn 1: Đánh cắp thông tin xác thực qua Phishing lừa đảo

Cuộc tấn công phishing khởi đầu bằng một trang HTML lừa đảo có tên “Virtual-Gift-Card-Claim.html”. Trang này được thiết kế hết sức tinh vi, mô phỏng một thông báo giải thưởng doanh nghiệp hợp pháp.

Mục tiêu là tạo dựng niềm tin và khuyến khích người dùng tương tác.

Khi người dùng tương tác với trang này, họ tin rằng mình đang thực hiện quy trình xác minh thông tin đăng nhập để nhận giải thưởng điều hành. Tuy nhiên, trên thực tế, thông tin đăng nhập của họ ngay lập tức được truyền tới một máy chủ Command-and-Control (C2) Telegram. Máy chủ này hoàn toàn nằm dưới sự kiểm soát của kẻ tấn công.

Giai đoạn thu thập thông tin xác thực này không chỉ là một phần của cuộc tấn công phishing mà còn đóng vai trò là bước đầu tiên trong chuỗi lây nhiễm mã độc. Nó cung cấp cho kẻ tấn công quyền truy cập ban đầu, mở đường cho giai đoạn thứ hai của cuộc tấn công.

Giai đoạn 2: Phân phối mã độc Stealerium

Các nhà phân tích bảo mật của SpiderLabs đã đóng vai trò quan trọng trong việc xác định mã độc này. Họ đã tiến hành phân tích kỹ lưỡng cơ sở hạ tầng và các mẫu tấn công của chiến dịch. Theo thông tin được SpiderLabs công bố, sau khi người dùng bị lừa bởi trang tấn công phishing ở giai đoạn đầu, một tệp SVG độc hại có tên “account-verification-form.svg” sẽ được phân phối.

Tệp SVG này được thiết kế để kích hoạt một script PowerShell phức tạp. Script này hoạt động thông qua chuỗi khai thác ClickFix. ClickFix là một kỹ thuật đã được biết đến, khai thác lỗ hổng bằng cách lạm dụng các hệ thống nhắn tin nội bộ của Windows để thực thi các lệnh ẩn.

Mã PowerShell sau đó tiếp tục tải xuống và âm thầm cài đặt mã độc đánh cắp thông tin Stealerium trên máy tính của nạn nhân. Quá trình này diễn ra mà không có bất kỳ thông báo hay sự đồng ý nào từ người dùng, làm tăng đáng kể nguy cơ rò rỉ dữ liệu nhạy cảm.

Mã độc Stealerium: Cơ chế hoạt động và rủi ro rò rỉ dữ liệu

Mã độc Stealerium là một mối đe dọa nghiêm trọng, được thiết kế để hoạt động một cách lén lút và trích xuất thông tin nhạy cảm từ các hệ thống bị lây nhiễm. Mã độc này thiết lập kênh liên lạc với các máy chủ Command-and-Control (C2) tại địa chỉ 31.57.147.77:6464. Đồng thời, nó sử dụng nhiều điểm cuối tải xuống khác nhau để truy xuất các thành phần bổ sung và các lệnh điều khiển.

Kiến trúc tinh vi này mang lại cho kẻ tấn công khả năng thích ứng cuộc tấn công theo thời gian thực. Kẻ tấn công có thể điều chỉnh dựa trên điều kiện của hệ thống mục tiêu và các biện pháp bảo mật hiện có. Sức mạnh chính của cuộc tấn công nằm ở việc lạm dụng các tính năng hợp pháp của Windows để chống lại chính người dùng.

Khi tệp SVG độc hại được mở, các lệnh PowerShell nhúng sẽ được thực thi. Quá trình này diễn ra với khả năng hiển thị tối thiểu, khiến việc phát hiện trở nên khó khăn. Chuỗi ClickFix đặc biệt hiệu quả trong việc lạm dụng các giao thức nhắn tin hợp pháp của Windows để kích hoạt thực thi mà không gây ra các cảnh báo bảo mật điển hình thường thấy.

Sau khi được kích hoạt, Stealerium tiếp tục tải xuống các thành phần phụ trợ cần thiết. Các thành phần này bao gồm tệp DLL chính, các script batch và các tệp thực thi lệnh. Mã độc sau đó thiết lập cơ chế tồn tại lâu dài (persistence) trên hệ thống. Điều này đảm bảo rằng nó vẫn hoạt động và tiếp tục đánh cắp dữ liệu ngay cả sau khi hệ thống khởi động lại, gia tăng nguy cơ rò rỉ dữ liệu nghiêm trọng.

Chỉ số IOC và Hướng dẫn Phòng ngừa tấn công mạng

Để tăng cường an ninh mạng và bảo vệ hệ thống khỏi các cuộc tấn công phishing phức tạp như thế này, các tổ chức cần chủ động giám sát các chỉ số xâm nhập và triển khai các biện pháp phòng ngừa hiệu quả.

Chỉ số xâm nhập (Indicators of Compromise – IOCs)

Các tổ chức nên đặc biệt chú ý đến các chỉ số xâm nhập sau để phát hiện sớm và ứng phó với cuộc tấn công:

• Địa chỉ Command-and-Control (C2):
  • 31.57.147.77:6464
• Tên tệp độc hại:
  • Virtual-Gift-Card-Claim.html
  • account-verification-form.svg
• Tên mã độc:
  • Stealerium
• Kỹ thuật khai thác:
  • ClickFix exploit chain

Hướng dẫn Phát hiện và Giảm thiểu Rủi ro An ninh mạng

Việc triển khai các biện pháp kỹ thuật và nâng cao nhận thức là tối cần thiết để bảo vệ hệ thống khỏi các mối đe dọa như mã độc Stealerium:

• Giám sát hoạt động PowerShell: Cần theo dõi chặt chẽ mọi hoạt động PowerShell bất thường trên hệ thống. Đặc biệt chú ý đến các nỗ lực thực thi lệnh PowerShell từ các nguồn không chuẩn hoặc có hành vi đáng ngờ. Ghi nhật ký (logging) script block và module logging có thể cung cấp chi tiết quan trọng.
• Phát hiện thực thi tệp SVG đáng ngờ: Cấu hình hệ thống phát hiện điểm cuối (EDR) hoặc các giải pháp bảo mật khác để cảnh báo về việc thực thi các tệp SVG có nguồn gốc không rõ ràng hoặc thể hiện hành vi độc hại.
• Giám sát và chặn kết nối mạng: Thực hiện giám sát mạng liên tục để phát hiện các kết nối đến cơ sở hạ tầng Command-and-Control đã xác định, chẳng hạn như 31.57.147.77:6464. Chặn quyền truy cập vào các địa chỉ IP độc hại đã biết tại tường lửa và theo dõi các yêu cầu DNS liên quan đến chiến dịch này.
• Nâng cao nhận thức người dùng: Tổ chức cần liên tục đào tạo và nâng cao nhận thức cho người dùng. Cần cảnh báo họ về các email không mong muốn, đặc biệt là những email yêu cầu xác nhận giải thưởng, quyền lợi điều hành hoặc thông tin cá nhân. Kỹ thuật xã hội vẫn là vector tấn công hiệu quả nhất trong nhiều chiến dịch tấn công phishing.

Dưới đây là ví dụ lệnh CLI để kiểm tra kết nối mạng đến máy chủ C2 trên hệ điều hành Linux:

netstat -an | grep "31.57.147.77:6464"

Ví dụ cấu hình tường lửa để chặn địa chỉ IP độc hại 31.57.147.77:

# Trên Linux (iptables)
sudo iptables -A INPUT -s 31.57.147.77 -j DROP
sudo iptables -A OUTPUT -d 31.57.147.77 -j DROP

# Trên Windows Firewall (PowerShell)
New-NetFirewallRule -DisplayName "Block Stealerium C2 Outbound" -Direction Outbound -Action Block -RemoteAddress 31.57.147.77
New-NetFirewallRule -DisplayName "Block Stealerium C2 Inbound" -Direction Inbound -Action Block -RemoteAddress 31.57.147.77