Một chiến dịch TinyLoader malware phức tạp đang diễn ra, kết hợp nhiều vector tấn công để đánh cắp tiền điện tử và phân phối các payload độc hại khác lên các hệ thống Windows. Chiến dịch này được Hunt.io phát hiện gần đây, cho thấy sự phát triển đáng kể trong các hoạt động trộm cắp tiền điện tử.

Tổng quan về Chiến dịch TinyLoader malware

Chiến dịch TinyLoader malware nhắm mục tiêu vào người dùng Windows thông qua một chiến lược tấn công đa chiều. Các phương pháp bao gồm khai thác chia sẻ mạng, lây lan qua USB và sử dụng các tệp phím tắt lừa đảo.

Mã độc này hoạt động như một cơ chế phân phối cho các mối đe dọa nguy hiểm khác. Trong số đó có Redline Stealer và DCRat.

Phạm vi và Hạ tầng C2 của TinyLoader malware

Các nhà nghiên cứu bảo mật đã điều tra hoạt động đáng ngờ từ địa chỉ IP 176.46.152.47. Ban đầu, họ nghi ngờ đây là một máy chủ độc hại đơn lẻ.

Tuy nhiên, quá trình điều tra đã tiết lộ đây là một phần của hạ tầng quốc tế rộng lớn hơn. Mạng lưới Command and Control (C2) của TinyLoader malware trải rộng trên các máy chủ ở Latvia, Vương quốc Anh và Hà Lan, tất cả đều được Virtualine Technologies lưu trữ.

Cuộc điều tra cũng phát hiện các bảng điều khiển TinyLoader đang hoạt động tại nhiều địa chỉ IP. Những kẻ tấn công sử dụng các chữ ký HTML đặc trưng như “Login – TinyLoader” để quản lý các hoạt động độc hại của chúng.

Các bảng điều khiển này là trung tâm nơi tội phạm mạng giám sát máy tính bị lây nhiễm, theo dõi tiền điện tử bị đánh cắp. Chúng cũng phối hợp phân phối mã độc.

Cơ chế Lây lan và Phát tán

TinyLoader malware sử dụng nhiều phương pháp lây lan tinh vi. Mục tiêu là tối đa hóa tỷ lệ lây nhiễm và duy trì quyền truy cập trên các hệ thống mục tiêu.

Thiết kế bảng điều khiển gọn gàng, chức năng là đặc trưng của các hoạt động malware-as-a-service hiện đại. Tại đó, các tác nhân đe dọa ưu tiên tính dễ sử dụng để quản lý dữ liệu bị đánh cắp và điều phối hoạt động botnet.

Khai thác Chia sẻ Mạng

Đối với các cuộc tấn công dựa trên mạng, TinyLoader malware quét các mạng cục bộ để tìm các thư mục và ổ đĩa chia sẻ có thể truy cập.

Sử dụng các quyền hệ thống hiện có, nó tự sao chép vào các chia sẻ mạng dưới dạng “Update.exe”. Điều này tiềm ẩn nguy cơ lây lan trong toàn bộ mạng lưới doanh nghiệp.

Khả năng di chuyển ngang này làm cho TinyLoader malware đặc biệt nguy hiểm trong môi trường doanh nghiệp có nhiều tài nguyên chia sẻ.

Lây nhiễm qua Thiết bị USB

Mã độc này cũng nhắm mục tiêu vào các thiết bị lưu trữ di động. Mỗi khi ổ đĩa USB được kết nối, TinyLoader malware tự sao chép nhiều lần với các tên hấp dẫn.

Ví dụ như “Photo.jpg.exe” và “Document.pdf.exe”. Nó tạo các tệp autorun tự động khởi chạy mã độc khi thiết bị USB bị nhiễm được cắm vào một máy tính khác. Điều này biến các thiết bị lưu trữ vô hại thành vector lây nhiễm.

Tấn công qua Phím tắt Giả mạo

TinyLoader malware tạo các phím tắt desktop thuyết phục, gắn nhãn “Documents Backup.lnk”. Chúng có các biểu tượng Windows chính thức và mô tả như “Double-click to view contents”. Mục đích là lừa người dùng thực thi mã độc.

Phương pháp Duy trì Quyền truy cập

Một khi đã được cài đặt, TinyLoader malware sử dụng nhiều kỹ thuật để duy trì quyền truy cập dài hạn vào các hệ thống bị nhiễm.

Ẩn tệp và Thay đổi Registry

Mã độc này tạo các bản sao ẩn của chính nó trong nhiều thư mục, bao gồm Desktop và Documents. Mỗi bản sao được đánh dấu là ẩn để tránh bị phát hiện trong quá trình duyệt thông thường.

Trong trường hợp mã độc có được quyền quản trị viên, nó thực hiện một sửa đổi registry đặc biệt nguy hiểm. Bằng cách chiếm quyền liên kết tệp của Windows cho các tệp văn bản, TinyLoader malware đảm bảo rằng nó sẽ chạy mỗi khi người dùng mở bất kỳ tệp .txt nào. Kỹ thuật này hòa lẫn tính bền vững vào các hành động người dùng thông thường, khiến việc phát hiện trở nên cực kỳ khó khăn.

Chức năng Đánh cắp Tiền điện tử của TinyLoader malware

Khả năng nguy hiểm nhất của TinyLoader malware liên quan đến việc giám sát clipboard thời gian thực để đánh cắp dữ liệu tiền điện tử.

Các IP Riga liên tiếp nhau cho thấy chúng có thể đến từ cùng một khối máy chủ. Kết hợp với lưu lượng C2 và các thư mục mở được phát hiện, điều này chứng tỏ đây là một hoạt động có tổ chức tốt.

Giám sát Clipboard Thời gian Thực

Một tiến trình nền ẩn liên tục giám sát hoạt động clipboard, kiểm tra bốn lần mỗi giây để tìm thay đổi. Đồng thời, nó sử dụng tài nguyên hệ thống tối thiểu để tránh bị phát hiện.

Khi người dùng sao chép địa chỉ tiền điện tử cho Bitcoin, Ethereum, Litecoin hoặc TRON, mã độc ngay lập tức xác thực định dạng và thay thế các địa chỉ hợp pháp bằng các ví do kẻ tấn công kiểm soát.

Việc thay thế này xảy ra nhanh hơn người dùng có thể nhận thấy. Điều này làm cho các giao dịch có vẻ hợp pháp trong khi chuyển hướng tiền đến các tài khoản của tội phạm.

Mã độc sử dụng các API của Windows để trích xuất nội dung clipboard một cách an toàn. Với các biện pháp bảo vệ tích hợp, nó ngăn chặn sự cố hoặc xung đột với các ứng dụng khác. Điều này đảm bảo quá trình trộm cắp vẫn vô hình và không có lỗi, tối đa hóa cơ hội chặn tiền điện tử thành công.

TinyLoader như Cơ chế Phân phối Mã độc

Ngoài các khả năng trộm cắp chính, TinyLoader malware còn hoạt động như một cơ chế phân phối cho các họ mã độc bổ sung.

Phân phối Redline Stealer và DCRat

Khi thực thi, nó liên hệ với sáu URL được kiểm soát bởi kẻ tấn công đã được xác định trước để tải xuống các payload thứ cấp. Các tệp này bao gồm “bot.exe” và “zx.exe”, được lưu vào thư mục tạm thời của hệ thống và được thực thi ngay lập tức.

Các payload này thường bao gồm DCRat, một trojan truy cập từ xa cung cấp cho kẻ tấn công các khả năng kiểm soát hệ thống toàn diện. Những khả năng này bao gồm ghi nhật ký gõ phím (keylogging), chụp màn hình và trộm cắp tệp.

Sự kết hợp này biến các hệ thống bị nhiễm thành các nền tảng tấn công đa năng, có khả năng chạy nhiều công cụ độc hại cùng lúc.

Nâng cao An toàn Thông tin và Phòng ngừa

Các tổ chức có thể bảo vệ chống lại các cuộc lây nhiễm TinyLoader malware bằng cách triển khai một số biện pháp phòng thủ.

Chặn IP Độc hại và Giám sát Mạng

Giám sát mạng nên bao gồm tìm kiếm chữ ký HTML “Login – TinyLoader” để xác định hạ tầng liên quan. Các đội an ninh nên chặn các địa chỉ IP độc hại đã biết.

IPs độc hại đã biết:
- 176.46.152.47
- 176.46.152.46
- 107.150.0.155

Chữ ký HTML C2:
- "Login – TinyLoader"

Chính sách Thiết bị USB và Kiểm tra Tệp đáng ngờ

Hạn chế thiết bị USB và các chính sách quét toàn diện có thể ngăn chặn sự di chuyển ngang qua các phương tiện di động. Các đội an ninh nên giám sát các tệp đáng ngờ như “Update.exe” xuất hiện trên các chia sẻ mạng.

Cần thiết lập cảnh báo cho nhiều tệp thực thi được tạo trong thư mục người dùng. Thường xuyên quét ổ đĩa USB trước khi mở tệp, đặc biệt là các tệp thực thi ngụy trang thành tài liệu có phần mở rộng kép, cung cấp thêm biện pháp bảo vệ chống lại lây nhiễm.

Xác minh Giao dịch Tiền điện tử

Người dùng cá nhân nên xác minh địa chỉ ví tiền điện tử trước khi xác nhận giao dịch. Họ cũng cần cảnh giác với các phím tắt trên desktop tự nhận là công cụ sao lưu hoặc tiện ích.

Chiến dịch TinyLoader malware đại diện cho bản chất đang phát triển của tội phạm mạng hiện đại. Kẻ tấn công kết hợp nhiều kỹ thuật vào các nền tảng tấn công toàn diện. Khả năng lây lan qua chia sẻ mạng, thiết bị USB và kỹ thuật xã hội, đồng thời duy trì quyền truy cập dai dẳng và đánh cắp dữ liệu tiền điện tử, cho thấy mối đe dọa tinh vi mà các tổ chức và cá nhân phải đối mặt.

Khi việc áp dụng tiền điện tử tiếp tục phát triển, các cuộc tấn công như TinyLoader malware làm nổi bật tầm quan trọng của việc duy trì các thực hành an toàn thông tin mạnh mẽ. Cần phải cảnh giác chống lại các hoạt động mã độc ngày càng tinh vi được thiết kế để đánh cắp tài sản số và xâm phạm an ninh hệ thống.