Mới đây, Huntress Labs, một công ty cung cấp phần mềm đả phát hiện mối đe dọa về an ninh mạng MSP, đã tìm thấy một kịch bản tấn công mới mẻ, rất tinh vi của tin tặc. Kịch bản tấn công này đòi hỏi có sự kiên trì cao, thời gian dài nhưng kết quả thu được có thể rất lớn với hacker.
Cụ thể hơn, sau khi chiếm được quyền truy cập vào máy tính của nạn nhân, tin tặc sẽ sử dụng một tập tin có tên "a.chk" để âm thầm triển khai mã độc. Tập tin này sẽ được ngụy trang như một file logs báo lỗi cho ứng dụng của Windows.
File logs "giả" có tên a.chk
Các thông số trong tập tin này đều bình thường ngoại trừ cột cuối cùng. Nhìn thoáng qua, cột này trông như đang chứa các giá trị thập lục phân. Tuy nhiên, khi đổi ra mã thập phân, đây lại là số hiệu của các ký tự trong bảng ASCII. Khi được giải mã, các ký tự này sẽ tạo thành một tập lệnh liên kết đến máy chủ điều khiển của tin tặc giúp chúng triển khai những hành động tiếp theo.
Nếu không để ý xem xét kỹ, ngay cả chuyên gia bảo mật cũng không nhận ra điểm bất thường nào của các file logs này. Các cột và các hàng đều là các chỉ dấu thời gian và tham chiếu cho số phiên bản nội bộ của Microsoft.
Khi kiểm tra kỹ hơn cho thấy tin tặc đã ẩn trong đó các đoạn mã lệnh để trích xuất các dữ liệu có liên quan và xây dựng payload được mã hóa. Payload là một phần của một malware, một đoạn code được chạy trên máy nạn nhân, dùng để thực hiện một số hoạt động độc hại nào đó, như hủy bỏ dữ liệu, gửi spam hay mã hóa dữ liệu. Thêm vào payload, những malware như vậy có thêm overhead code để lan truyền nó, hay để tránh bị nhận diện.
Bạn có thể thấy cách tin tặc giấu mã lệnh trong ảnh dưới đây, để ý cột ngoài cùng bên phải:
Các giá trị ở cột cuối cùng có thể được chuyển thành mã lệnh nguy hiểm
Theo chuyên gia bảo mật John Ferrell, Phó chủ tịch của Huntress Labs, payload được tạo ra bằng cách giả mạo các thao tác đã được lên lịch trình của Windows. Hai mã lệnh thực thi trong phương thức tấn công mới này đều được đổi tên gần giống với các lệnh mặc định để tránh bị phát hiện.
Mã lệnh thứ nhất có tên BfeOnService.exe, một bản sao của mshta.exe. Mã lệnh này thực thi VBScript để khởi động PowerShell và chạy các lệnh trong đó.
Mã thứ hai có tên engine.exe, bản sao của Powershell.exe. Mã này có nhiệm vụ trích xuất các số ASCII trong file logs "giả" và giải mã chúng thành mã lệnh khác để xây dựng payload.
Khi khởi chạy, mã lệnh kết hợp với nhau tạo ra payload, thu thập thông tin trên máy tính nạn nhân
Sau khi được xây dựng xong, payload sẽ thu thập thông tin về trình duyệt, các phần mềm có liên quan tới thuế, phần mềm bảo mật và phần mềm PoS cài đặt trên máy tính của nạn nhân.
Hiện tại vẫn chưa biết hacker hay tổ chức nào đứng đằng sau phương thức tấn công này. Đây là một phương thức tấn công khá tinh vi và nó cho thấy tin tặc đang cố gắng tìm mọi cách để xâm nhập, đánh cắp thông tin quan trọng trên máy tính của cá nhân và doanh nghiệp.
Theo quantrimang