Các nhà nghiên cứu an ninh mạng tại Trung tâm Tình báo Bảo mật AhnLab (ASEC) đã phát hiện một chiến dịch dai dẳng, trong đó các đối tượng tấn công phân phối mã độc proxyware thông qua các trang tải video YouTube giả mạo. Hoạt động này lợi dụng mong muốn tải video của người dùng, cài đặt các tệp thực thi độc hại được ngụy trang dưới dạng công cụ hợp pháp như WinMemoryCleaner.

Chiến dịch phân phối mã độc proxyware dai dẳng

Chiến dịch này sử dụng GitHub để lưu trữ mã độc, một chiến thuật phổ biến trong các sự cố trước đây. Điều này dẫn đến các đợt lây nhiễm rộng rãi, đặc biệt tại Hàn Quốc. Mã độc lây lan thông qua các quảng cáo bật lên hoặc liên kết tải xuống trực tiếp xuất hiện ngẫu nhiên.

Phương thức này đảm bảo chuỗi lây nhiễm diễn ra một cách lén lút, khó bị phát hiện thông thường. Bằng cách khai thác các tìm kiếm nội dung YouTube của người dùng, kẻ tấn công dễ dàng tiếp cận các mục tiêu tiềm năng.

Cơ chế lây nhiễm và kỹ thuật phát tán

Bẫy người dùng qua trang tải video YouTube giả mạo

Cuộc tấn công bắt đầu khi người dùng nhập URL video YouTube vào trang web lừa đảo và nhấp vào nút tải xuống. Trang này thỉnh thoảng sẽ chuyển hướng đến một tệp thực thi độc hại có tên Setup.exe.

Tệp thực thi này được ngụy trang để trông giống như một công cụ hợp pháp, khiến người dùng không nghi ngờ và tiến hành cài đặt.

Việc sử dụng GitHub để lưu trữ mã độc cho phép kẻ tấn công tận dụng một nền tảng đáng tin cậy để phân phối phần mềm độc hại của chúng.

Chuỗi lây nhiễm và thực thi

Tệp Setup.exe sau đó cài đặt mã độc downloader, WinMemoryCleaner.exe, vào thư mục %PROGRAMFILES%WinMemoryCleaner. Sau đó, một tập lệnh batch có tên WinMemoryCleanerUpdate.bat được thực thi để chạy mã độc với đối số /update.

Đoạn mã mẫu cho việc thực thi:

WinMemoryCleanerUpdate.bat /update

Quá trình này đảm bảo rằng mã độc được khởi chạy và có thể tiếp tục các hoạt động độc hại của nó trên hệ thống.

Phân tích kỹ thuật mã độc và kỹ thuật né tránh

Kỹ thuật Anti-Analysis và triển khai Payload

Mã độc này tích hợp các kỹ thuật chống phân tích. Nó quét các môi trường máy ảo (VM) và sandbox để tránh bị phát hiện và phân tích. Nếu phát hiện ra môi trường như vậy, nó có thể tạm dừng hoặc thay đổi hành vi của mình.

Sau khi vượt qua các kiểm tra môi trường, mã độc triển khai một tập lệnh PowerShell. Tập lệnh này chịu trách nhiệm cài đặt Node.js và tải xuống các payload JavaScript bổ sung. Các payload này là thành phần cốt lõi của chức năng proxyware.

Các tập lệnh JavaScript này được lên lịch thông qua Task Scheduler của Windows dưới các tác vụ như “Schedule Update” và “WindowsDeviceUpdates”. Điều này cho phép chúng được thực thi định kỳ, duy trì sự hiện diện dai dẳng trên hệ thống bị nhiễm.

Giao tiếp với máy chủ Command-and-Control (C&C)

Các tập lệnh JavaScript thiết lập liên lạc với một máy chủ Command-and-Control (C&C). Chúng truyền các chi tiết hệ thống như UUID, địa chỉ IP và thông tin định vị địa lý (geolocation) của nạn nhân về máy chủ C&C.

Đổi lại, chúng nhận các lệnh PowerShell từ máy chủ C&C. Những lệnh này tạo điều kiện thuận lợi cho việc cài đặt các biến thể mã độc proxyware, bao gồm DigitalPulse, Honeygain và biến thể Infatica mới được quan sát.

Các biến thể mã độc Proxyware và tác động

Chi tiết về các biến thể

Các biến thể mã độc proxyware như DigitalPulse, Honeygain và Infatica chiếm quyền điều khiển băng thông mạng của nạn nhân cho các dịch vụ proxy trái phép. Điều này cho phép kẻ tấn công sử dụng tài nguyên mạng của nạn nhân để thu lợi bất chính.

Ví dụ, biến thể Infatica triển khai CleanZilo.exe, một tệp thực thi tải infatica_agent.dll. Thư viện này có chức năng chính là chiếm đoạt băng thông, mang lại lợi nhuận cho kẻ tấn công trong khi làm giảm hiệu suất của hệ thống bị nhiễm.

Tác động lên hệ thống và lợi nhuận bất chính

Chiến dịch này thể hiện sự phát triển trong các mối đe dọa mã độc proxyware, nơi những kẻ tấn công biến các công cụ chia sẻ băng thông hợp pháp thành lợi ích bất chính. Điều này tương tự như cryptojacking, nhưng tập trung vào tài nguyên mạng thay vì chu kỳ CPU.

Không giống như các cài đặt tự nguyện mà người dùng được thưởng, các vụ lây nhiễm này kiếm tiền từ kết nối của nạn nhân một cách không tự nguyện, với lợi nhuận được chuyển đến các đối tượng đe dọa. Các trường hợp gần đây cho thấy sự đa dạng hóa trong các loại proxyware, từ DigitalPulse và Honeygain đến Infatica, cho thấy các chiến thuật thích ứng để vượt qua sự phát hiện.

Tham khảo báo cáo chi tiết về chiến dịch này từ AhnLab ASEC tại: ASEC Threat Report.

Mục tiêu và phương pháp phòng ngừa

Nhắm mục tiêu và kỹ thuật né tránh

ASEC báo cáo rằng các hệ thống ở Hàn Quốc là mục tiêu chính của chiến dịch này. Mã độc sử dụng các phương pháp né tránh như kiểm tra môi trường và duy trì sự dai dẳng thông qua script.

Việc tập trung vào một khu vực địa lý cụ thể cho thấy kẻ tấn công có thể đang nhắm mục tiêu vào các đặc điểm mạng hoặc người dùng cụ thể tại đó.

Biện pháp ngăn chặn và khắc phục

Để chống lại mối đe dọa này, người dùng nên tránh tải xuống các tệp thực thi từ các nguồn không đáng tin cậy. Điều này bao gồm các trang web chứa nhiều quảng cáo và các cửa sổ bật lên đáng ngờ. Luôn xác minh nguồn gốc của phần mềm trước khi cài đặt.

Đối với việc khắc phục, việc triển khai các giải pháp chống virus mạnh mẽ như AhnLab V3 được khuyến nghị. Các giải pháp này có khả năng phát hiện các biến thể của mã độc proxyware, giúp loại bỏ chúng khỏi hệ thống bị nhiễm.

Việc giám sát liên tục các chỉ số thỏa hiệp (IOCs) là rất quan trọng đối với các nhà săn lùng mối đe dọa, vì kẻ tấn công không ngừng cải tiến phương pháp của chúng. Điều này giúp phát hiện sớm và phản ứng kịp thời với các mối đe dọa mới nổi.

Indicators of Compromise (IOCs) và Dấu hiệu nhận biết

Dấu hiệu nhận biết (Detection Signatures)

Các giải pháp bảo mật có thể phát hiện các biến thể của mã độc proxyware này dựa trên các signature sau:

• Dropper/Win.Proxyware.C5783593
• Unwanted/Win.Proxyware.C5790566