Một chiến dịch đánh cắp thông tin xác thực tinh vi, xoay quanh công cụ có tên VIP Keylogger, đang nổi lên như một mối đe dọa mạng nghiêm trọng đối với các tổ chức và cá nhân. Không giống như phần mềm độc hại thông thường thường thả các tệp xuống ổ cứng của nạn nhân, keylogger này chạy hoàn toàn trong bộ nhớ. Điều này khiến các công cụ bảo mật truyền thống gặp khó khăn hơn nhiều trong việc phát hiện.

Chiến dịch được phát hiện lần đầu thông qua hoạt động email đáng ngờ trên VirusTotal. Một thông báo lừa đảo đã thúc đẩy người nhận mở một tệp trông giống như đơn đặt hàng tiêu chuẩn.

VIP Keylogger: Chi tiết về Chiến dịch Xâm nhập

Cơ chế Hoạt động và Khả năng Tàng hình

Tệp đính kèm thực chất là một tệp RAR chứa một tệp thực thi độc hại có tên ÜRÜN ÇİZİMİ VÀ TEKNİK ÖZELLİKLERİ_xlsx.exe. Tệp này đã âm thầm trích xuất và chạy VIP Keylogger trực tiếp trong bộ nhớ mà không chạm vào đĩa.

Điểm đáng báo động hơn của chiến dịch này là quy mô của nó. Nhiều trường hợp đã được phát hiện nhắm mục tiêu vào các nạn nhân trên nhiều quốc gia khác nhau. Kẻ tấn công chỉ điều chỉnh phong cách đóng gói và thực hiện những thay đổi nhỏ trong luồng thực thi.

Tuy nhiên, tải trọng cốt lõi vẫn nhất quán trong suốt chiến dịch. Tính linh hoạt này cho thấy một hoạt động được tổ chức tốt, có khả năng mở rộng nhanh chóng trong khi vẫn giữ nguyên mục tiêu chính – đánh cắp thông tin xác thực hàng loạt.

Các nhà phân tích của K7 Security Labs đã xác định chiến dịch VIP Keylogger này trong khi điều tra hoạt động trên VirusTotal. Họ lưu ý rằng tải trọng cuối cùng dường như được phân phối ở giai đoạn phát triển ban đầu hoặc dưới dạng sản phẩm Malware-as-a-Service (MaaS) có thể cấu hình.

Các khả năng chính như AntiVM, ProcessKiller và DownloaderFile được phát hiện đã bị vô hiệu hóa hoặc đặt thành NULL trong quá trình phân tích. Điều này cho thấy khách hàng chỉ nhận được các tính năng mà họ đã trả tiền. Thiết kế mô-đun này làm cho công cụ VIP Keylogger dễ tiếp cận hơn đối với các tác nhân đe dọa có kỹ năng kỹ thuật hạn chế.

Mục tiêu Thu thập Dữ liệu và Kỹ thuật Rò rỉ

Dữ liệu Nhạy cảm bị Nhắm mục tiêu bởi VIP Keylogger

Khi hoạt động, VIP Keylogger thu thập dữ liệu nhạy cảm từ máy bị nhiễm. Nó nhắm mục tiêu vào hàng chục trình duyệt dựa trên Chromium bao gồm Chrome, Brave, Edge và Opera. Ngoài ra, các trình duyệt dựa trên Firefox như Firefox, Thunderbird và Waterfox cũng bị nhắm đến.

Dữ liệu được lấy bao gồm cookies, thông tin đăng nhập, thông tin thẻ tín dụng và lịch sử duyệt web. Các ứng dụng email như Outlook, Foxmail, ThunderBird và Postbox cũng bị xâm phạm, với mật khẩu POP3, IMAP, SMTP và HTTP bị đánh cắp.

Các nền tảng như Discord, FileZilla và Pidgin cũng mất token tài khoản và chi tiết máy chủ. Đây là một chiến dịch rò rỉ dữ liệu quy mô lớn.

Kênh Exfiltration Dữ liệu

Tất cả dữ liệu bị đánh cắp được chuyển đi thông qua một trong năm kênh: FTP, SMTP, Telegram, HTTP POST hoặc Discord. Mẫu phân tích đã sử dụng SMTP để chuyển tiếp thông tin qua một máy chủ chuyên dụng trên cổng 587.

Kỹ thuật Vượt qua Bảo mật và Phát hiện

Quá trình lây nhiễm của VIP Keylogger đi theo hai con đường riêng biệt, cả hai đều được thiết kế để vượt qua các công cụ bảo mật mà không bị phát hiện xâm nhập.

Phương pháp Lây nhiễm Đầu tiên: Che giấu Bằng Steganography và Process Hollowing

Trong phương pháp đầu tiên, tệp độc hại là một tệp thực thi .NET PE ẩn hai DLL bên trong phần tài nguyên của nó bằng cách sử dụng steganography – một kỹ thuật ẩn mã bên trong các tệp dường như vô hại.

• DLL đầu tiên, Turboboost.dll, trích xuất DLL thứ hai, Vertical bars.dll.
• Vertical bars.dll chứa tải trọng VIP Keylogger cuối cùng được ẩn bên trong một hình ảnh PNG, cũng thông qua steganography.

Tải trọng đó được lấy từ hình ảnh và triển khai thông qua process hollowing. Trong kỹ thuật này, tiến trình máy chủ khởi chạy ở trạng thái tạm dừng và bộ nhớ của nó được thay thế bằng mã độc hại trước khi quá trình thực thi bắt đầu.

Phương pháp Lây nhiễm Thứ hai: Vô hiệu hóa Hệ thống Bảo mật Windows

Trong phương pháp thứ hai, một tệp PE tiêu chuẩn lưu trữ các byte được mã hóa AES bên trong phần .data của nó. Sau khi giải mã chúng trong bộ nhớ, phần mềm độc hại sẽ vá AMSI – một giao diện của Windows quét các tập lệnh đáng ngờ – và ETW, một hệ thống ghi nhật ký được các sản phẩm bảo mật tin cậy.

Với cả hai hàng rào phòng thủ bị vô hiệu hóa, VIP Keylogger tải sạch thông qua Common Language Runtime (CLR). Cả hai đường dẫn đều chia sẻ một mục tiêu: thực thi tải trọng mà không chạm vào đĩa và gần như không để lại dấu vết.

Các Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến chiến dịch VIP Keylogger bao gồm:

• Tên tệp độc hại:ÜRÜN ÇİZİMİ VÀ TEKNİK ÖZELLİKLERİ_xlsx.exe
• Kênh exfiltration: SMTP (sử dụng máy chủ chuyên dụng trên cổng 587)
• Các DLL độc hại:Turboboost.dll, Vertical bars.dll

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Để bảo vệ hệ thống trước các mối đe dọa như VIP Keylogger, các tổ chức và cá nhân cần thực hiện các biện pháp bảo mật mạng sau:

• Tránh mở tệp đính kèm email từ người gửi không xác định, đặc biệt là các tệp nén như RAR hoặc ZIP. Luôn kiểm tra kỹ người gửi và nội dung trước khi mở bất kỳ tệp nào.
• Triển khai các giải pháp bảo mật điểm cuối (EDR) có khả năng xác định các mối đe dọa chạy trong bộ nhớ và hành vi process hollowing. Những công cụ này có thể cung cấp khả năng hiển thị sâu hơn vào các hoạt động hệ thống bất thường.
• Giữ trình duyệt và ứng dụng được cập nhật thường xuyên. Việc cập nhật bản vá bảo mật giúp giảm thiểu bề mặt tấn công mà VIP Keylogger có thể khai thác.
• Tham khảo thêm thông tin chi tiết về chiến dịch này tại nguồn tin cậy:K7 Security Labs – MaaS VIP Keylogger Campaign.