Trung tâm Tình báo Bảo mật AhnLab (ASEC) đã phát hiện một chiến dịch phát tán mã độc tinh vi và quy mô lớn. Chiến dịch này sử dụng các kho lưu trữ GitHub được thiết kế để giả mạo các dự án phần mềm hợp pháp, nhằm mục tiêu phân phối mã độc SmartLoader.

Các kho lưu trữ độc hại này được tối ưu để nhắm mục tiêu vào người dùng tìm kiếm nội dung phi pháp phổ biến, bao gồm các công cụ gian lận game, bản crack phần mềm, và các tiện ích tự động hóa. Nhờ tối ưu hóa SEO và kỹ thuật lừa đảo, chúng thường xuất hiện ở vị trí đầu tiên trong kết quả tìm kiếm trên các nền tảng như Google và GitHub khi sử dụng các từ khóa nhạy cảm như “game hacks” hoặc “software crack”.

Phân tích Phương thức Phân phối và Kỹ thuật Lừa đảo

Mỗi kho lưu trữ độc hại trên GitHub được thiết kế tỉ mỉ với một tệp README chuyên nghiệp. Tệp này bao gồm tổng quan dự án, danh sách các tính năng và hướng dẫn cài đặt chi tiết, khiến chúng trở nên khó phân biệt với các dự án mã nguồn mở hợp pháp trong cái nhìn đầu tiên.

Kẻ tấn công lừa người dùng tải xuống các tệp nén chứa mã độc. Những tệp này thường được ngụy trang dưới dạng các công cụ hỗ trợ cho các trò chơi phổ biến như Maple Story, Minecraft, hoặc Call of Duty, hoặc dưới dạng các tiện ích giả mạo như Instagram boosters và VPN cracks.

Chiến thuật này khai thác triệt để sự tin cậy của người dùng vào hệ sinh thái GitHub. Các tác nhân đe dọa tạo tài khoản trên GitHub để lưu trữ các kho lưu trữ lừa đảo này, nhúng các payload độc hại vào các bản phát hành để tải xuống. Các URL tải xuống có cấu trúc đặc trưng, ví dụ: hxxps://github[.]com/[Threat Actor Account]/Maple-Story-Menu/releases/download/v3.2.0/Maple.Story.Menu.v3.2.0.zip.

Cấu trúc và Cơ chế Hoạt động của Mã độc SmartLoader

Các tệp lưu trữ nén độc hại tải về thường chứa bốn thành phần chính, đóng vai trò quan trọng trong chuỗi lây nhiễm:

• java.exe (Thực chất là luajit.exe): Một loader Lua hợp pháp được đổi tên, được sử dụng để tải và thực thi các script Lua độc hại.
• Launcher.cmd: Một script batch độc hại, là điểm khởi đầu của quá trình lây nhiễm.
• lua51.dll: Một thư viện trình thông dịch runtime cần thiết để thực thi các script Lua.
• module.class: Một script Lua chính đã bị che giấu mạnh mẽ, chứa logic hoạt động cốt lõi của mã độc SmartLoader.

Kích hoạt và Cơ chế Duy trì Quyền truy cập

Khi người dùng thực thi tệp Launcher.cmd, script này sẽ sử dụng luajit.exe (thông qua tệp java.exe đã đổi tên) để tải và kích hoạt SmartLoader. Ngay sau khi được kích hoạt, mã độc sẽ thực hiện các bước để đảm bảo khả năng duy trì quyền truy cập (persistence) trên hệ thống bị nhiễm.

Cụ thể, SmartLoader sao chép các tệp độc hại cần thiết vào thư mục %AppData%ODE3. Đồng thời, nó tạo các tác vụ theo lịch trình (scheduled tasks) dưới tên “SecurityHealthService_ODE3”. Cơ chế này đảm bảo rằng mã độc sẽ tự động khởi chạy sau mỗi lần hệ thống khởi động lại, duy trì sự hiện diện bền vững trên thiết bị nạn nhân và tiếp tục hoạt động độc hại.

Thu thập Thông tin và Giao tiếp Máy chủ C2

Sau khi thiết lập persistence, SmartLoader bắt đầu thu thập thông tin từ hệ thống bị nhiễm. Nó chụp ảnh màn hình định kỳ dưới dạng tệp BMP và thu thập các thông tin chi tiết về hệ thống đã được mã hóa. Tất cả dữ liệu này sau đó được truyền đến máy chủ điều khiển và kiểm soát (C2) của kẻ tấn công.

Địa chỉ máy chủ C2 được ghi nhận là hxxp://89.169.13[.]215/api/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs. Quá trình trao đổi dữ liệu giữa mã độc và C2 sử dụng mã hóa Base64 và các thao tác byte phức tạp, với các khóa giải mã được ẩn trong script Lua bị che giấu. Các khóa này chỉ có thể được tìm thấy và giải mã từ bộ nhớ động trong quá trình phân tích chuyên sâu.

Phản hồi từ máy chủ C2 được định dạng dưới dạng JSON, bao gồm các cấu hình “loader” chỉ định các hành vi của malware như bỏ qua các cơ chế phòng thủ hoặc kích hoạt thêm các phương pháp duy trì quyền truy cập. Ngoài ra, phản hồi C2 còn chứa mục “tasks” liệt kê các payload bổ sung mà mã độc cần tải về và thực thi, cho phép kẻ tấn công linh hoạt điều khiển và mở rộng phạm vi tấn công.

Các Payload Thứ cấp và Mối đe dọa Rò rỉ Dữ liệu

Phân tích sâu hơn về chiến dịch này đã tiết lộ ba payload thứ cấp chính được phân phối bởi SmartLoader, làm tăng thêm mức độ nghiêm trọng của mối đe dọa mạng. Chi tiết phân tích kỹ thuật đầy đủ có thể được tham khảo tại báo cáo của AhnLab ASEC: AhnLab ASEC Report.

• adobe.lua: Đây là một script Lua bị che giấu bổ sung, có chức năng tương tự như module.class. Nó cũng thiết lập persistence bằng cách đăng ký một tác vụ dưới tên “WindowsErrorRecovery_ODE4” và giao tiếp với một máy chủ C2 khác tại hxxp://95.164.53[.]26/api/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs.
• _x64.bin và _x86.bin: Hai biến thể shellcode này đã được xác định là Rhadamanthys infostealer. Chúng được thiết kế để hoạt động trong môi trường 64-bit và 32-bit tương ứng, đại diện cho nguy cơ chính về rò rỉ dữ liệu.

Chi tiết Hoạt động của Rhadamanthys Infostealer

Rhadamanthys infostealer là một loại mã độc chuyên biệt được thiết kế để đánh cắp thông tin. Nó thực hiện việc tiêm mã độc vào các tiến trình Windows hợp pháp phổ biến như openwith.exe, dialer.exe, dllhost.exe, và rundll32.exe để tránh bị phát hiện.

Mục tiêu hàng đầu của Rhadamanthys là đánh cắp dữ liệu nhạy cảm. Điều này bao gồm thông tin đăng nhập email, thông tin tài khoản FTP và đặc biệt là dữ liệu liên quan đến ngân hàng trực tuyến. Sự hiện diện của mã độc này tiềm ẩn nguy cơ cao về việc rò rỉ dữ liệu cá nhân và tài chính, gây ra thiệt hại nghiêm trọng cho nạn nhân.

Sau khi hoàn tất quá trình đánh cắp, các ID tác vụ và mã quốc gia của nạn nhân được truyền trở lại các điểm cuối C2, ví dụ: hxxp://89.169.13[.]215/tasks/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs. Điều này cho phép kẻ tấn công theo dõi hiệu quả các hệ thống đã bị xâm nhập và quản lý việc thu thập dữ liệu.

Vai trò của SmartLoader như một downloader đa năng cho nhiều loại infostealer khác nhau, bao gồm Rhadamanthys, Redline và Lumma Stealer, minh chứng cho tính linh hoạt và nguy hiểm của nó trong hệ sinh thái mã độc hiện nay.

Chỉ số Nhận diện (IOCs)

Để hỗ trợ các tổ chức và cá nhân trong việc phát hiện, ngăn chặn và ứng phó với mối đe dọa mạng từ chiến dịch này, dưới đây là các chỉ số nhận diện chính (IOCs):

Địa chỉ Máy chủ Điều khiển và Kiểm soát (C2):

• hxxp://89.169.13[.]215
• hxxp://95.164.53[.]26

Tên Tệp Độc hại:

• Launcher.cmd
• module.class
• adobe.lua
• _x64.bin
• _x86.bin
• java.exe (Tên tệp của luajit.exe)
• lua51.dll

Thư mục Duy trì Quyền truy cập:

• %AppData%ODE3

Tên Tác vụ Theo lịch trình (Scheduled Task Names):

• SecurityHealthService_ODE3
• WindowsErrorRecovery_ODE4

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro An ninh mạng

Để bảo vệ bản thân và hệ thống khỏi các chiến dịch phát tán mã độc tinh vi như SmartLoader, người dùng cần thực hiện các biện pháp phòng ngừa và giảm thiểu rủi ro an ninh mạng sau:

• Xác minh Nguồn và Tính xác thực của Kho lưu trữ: Luôn kiểm tra kỹ độ tin cậy của tác giả dự án, lịch sử commit (cam kết mã nguồn) và tính hợp pháp của nguồn trước khi tải xuống bất kỳ phần mềm nào từ GitHub hoặc các nền tảng tương tự. Đảm bảo rằng bạn đang tải về từ kho lưu trữ chính thức và được xác minh.
• Chỉ tải Phần mềm từ Kênh Chính thức: Tuyệt đối tránh tải xuống phần mềm từ các nguồn không đáng tin cậy, đặc biệt là các trang web cung cấp phần mềm “crack”, công cụ gian lận game, hoặc các ứng dụng không bản quyền. Những nguồn này là môi trường lý tưởng để phát tán mã độc.
• Triển khai Giải pháp Phát hiện và Phản hồi Điểm cuối (EDR): Ngay cả các kho lưu trữ có tài liệu đầy đủ và vẻ ngoài hợp pháp cũng có thể bị lợi dụng để phát tán mã độc. Điều này nhấn mạnh tầm quan trọng của việc triển khai các công cụ phát hiện và phản hồi điểm cuối (EDR) mạnh mẽ. Giải pháp EDR giúp phát hiện và ngăn chặn các hoạt động độc hại, cung cấp khả năng hiển thị sâu rộng và phản ứng nhanh chóng để bảo vệ hệ thống khỏi các cuộc tấn công tinh vi.