Một nhóm hacker đang sử dụng điều khiển từ xa ActiveX Desktop ở bên trong tệp tài liệu Word để thực thi tự động tải xuống trên Windows 10. Được biết mã độc này sẽ tự động tải xuống phần mềm độc hại có tên là Ostap đã được TrickBot áp dụng gần để gây lây nhiễm cho người dùng.
Các nhà nghiên cứu bảo mật đã tìm thấy rất nhiều tệp được phân phối có chứa mã độc ở lần đầu tiên, điều này cho thấy rằng có một chiến dịch lớn hơn ở phía trước.
Đầu tiên là lừa đảo nạn nhân:
Tệp mã độc Ostap, được phân tích rộng rãi bởi các nhà nghiên cứu từ Bromium, mã độc được lây nhiễm từ tệp tài liệu Word có chứa mã Macro độc hại và kèm theo đó là một hình ảnh được cho là dùng để hiển thị nội dung đã được mã hóa. Đây là trò mưu mẹo để đánh lừa nạn nhân kích hoạt Macro trong tệp tài liệu.
Những mối đe dọa này gởi các tài liệu độc hại qua đường Email lừa đảo được ngụy trang như thông báo của một hóa đơn thanh toán bị mất đi. Trong phần đính kèm là hóa đơn giả được đề cập trong Email.
Các nhà nghiên cứu bảo mật tại Morphisec đã phân tích các tài liệu đã bị nhiễm mã độc và nhận thấy rằng có một trình điều khiển ActiveX ẩn bên dưới hình ảnh đã được nhúng vào tài liệu.
Xem xét kỹ hơn sẽ cho thấy tác nhân gây hại đã sử dụng lớp MsRdpClient10NotSafeForScripting, được sử dụng cho trình điều khiển từ xa. Dành cho Windows 10 là máy khách được hỗ trợ tối thiểu và Windows Server 2016 là máy chủ được hỗ trợ tối thiểu.
Trình điều khiển ActiveX có thể được thêm vào bằng văn bản hoặc từ các drawing layers trong tài liệu Word nhằm làm cho mã độc dễ dàng được tương tác hơn.
Sự xảo quyệt để thực thi từ mã độc
Trong một báo cáo gần đây, Michael Gorelik của Morphisec viết rằng mã JavaScript đã giúp tải xuống Ostap có trong tệp tài liệu có cùng một phông chữ và điều đáng chú ý nữa là màu của chữ lại trùng với màu nền luôn, điều này khiến nó không thể nhìn thấy bằng mắt được.
Một phát hiện thú vị khác là những kẻ tấn công đã không điền lớp MsRdpClient10NotSafeForScripting vào trong "máy chủ", điều cần thiết để kết nối đến máy chủ để bàn từ xa.
Đây không phải là một sự sai sót từ những kẻ tấn công, vì đây chính là tác nhân (lỗi) sẽ giúp thực thi mã độc ngay sau đó, do đó sẽ tránh được sự phát hiện từ nạn nhân.
Khi kiểm tra Macro, các nhà nghiên cứu phát hiện ra rằng chức năng "_OnDisconnected" hoạt động như một trình kích hoạt nhưng chỉ sau khi có lỗi được trả về do không kết nối được với máy không tồn tại.
Trích từ - Michael Gorelik, Morp4ec
Gorelik nói với BleepingComputer rằng Hacker này không phải là người duy nhất chỉ dựa vào trình điều khiển ActiveX để thực thi phần mềm độc hại. Các tác nhân khác được tìm thấy vào tháng giêng đã sử dụng phương thức OnConnecting dễ phát hiện hơn.
Ngược lại với OnConnecting, phương thức OnDisconnected cần một giá trị trả về cụ thể và cũng có độ trễ trong quá trình tra cứu DNS. Điều này sẽ có lợi cho kẻ tấn công vì máy quét có thể sẽ bỏ lỡ các hoạt động đáng ngờ (độc hại) và đánh dấu tệp là không độc hại.
[Cập nhật 28/11/2020, 16:01 EST]: Bài viết được cập nhật để phản ánh cũng như điều chỉnh từ Morphisec về xác định sai trình tải xuống Ostap với backlink của Griffon thường được sử dụng bởi các mối đe dọa FIN7.
Các nhà nghiên cứu bảo mật đã tìm thấy rất nhiều tệp được phân phối có chứa mã độc ở lần đầu tiên, điều này cho thấy rằng có một chiến dịch lớn hơn ở phía trước.
Đầu tiên là lừa đảo nạn nhân:
Tệp mã độc Ostap, được phân tích rộng rãi bởi các nhà nghiên cứu từ Bromium, mã độc được lây nhiễm từ tệp tài liệu Word có chứa mã Macro độc hại và kèm theo đó là một hình ảnh được cho là dùng để hiển thị nội dung đã được mã hóa. Đây là trò mưu mẹo để đánh lừa nạn nhân kích hoạt Macro trong tệp tài liệu.
Những mối đe dọa này gởi các tài liệu độc hại qua đường Email lừa đảo được ngụy trang như thông báo của một hóa đơn thanh toán bị mất đi. Trong phần đính kèm là hóa đơn giả được đề cập trong Email.
Xem xét kỹ hơn sẽ cho thấy tác nhân gây hại đã sử dụng lớp MsRdpClient10NotSafeForScripting, được sử dụng cho trình điều khiển từ xa. Dành cho Windows 10 là máy khách được hỗ trợ tối thiểu và Windows Server 2016 là máy chủ được hỗ trợ tối thiểu.
Trình điều khiển ActiveX có thể được thêm vào bằng văn bản hoặc từ các drawing layers trong tài liệu Word nhằm làm cho mã độc dễ dàng được tương tác hơn.
Sự xảo quyệt để thực thi từ mã độc
Trong một báo cáo gần đây, Michael Gorelik của Morphisec viết rằng mã JavaScript đã giúp tải xuống Ostap có trong tệp tài liệu có cùng một phông chữ và điều đáng chú ý nữa là màu của chữ lại trùng với màu nền luôn, điều này khiến nó không thể nhìn thấy bằng mắt được.
Đây không phải là một sự sai sót từ những kẻ tấn công, vì đây chính là tác nhân (lỗi) sẽ giúp thực thi mã độc ngay sau đó, do đó sẽ tránh được sự phát hiện từ nạn nhân.
Khi kiểm tra Macro, các nhà nghiên cứu phát hiện ra rằng chức năng "_OnDisconnected" hoạt động như một trình kích hoạt nhưng chỉ sau khi có lỗi được trả về do không kết nối được với máy không tồn tại.
Trích từ - Michael Gorelik, Morp4ec
- OSTAP sẽ không thực thi trừ khi có một lỗi khớp với mã lỗi "disconnectRoryDNSLookupFails"
- (260); lệnh Wscript OSTAP được nối với một tổ hợp các ký tự được phục thuộc vào phần tính toán mã số lỗi
Gorelik nói với BleepingComputer rằng Hacker này không phải là người duy nhất chỉ dựa vào trình điều khiển ActiveX để thực thi phần mềm độc hại. Các tác nhân khác được tìm thấy vào tháng giêng đã sử dụng phương thức OnConnecting dễ phát hiện hơn.
Ngược lại với OnConnecting, phương thức OnDisconnected cần một giá trị trả về cụ thể và cũng có độ trễ trong quá trình tra cứu DNS. Điều này sẽ có lợi cho kẻ tấn công vì máy quét có thể sẽ bỏ lỡ các hoạt động đáng ngờ (độc hại) và đánh dấu tệp là không độc hại.
[Cập nhật 28/11/2020, 16:01 EST]: Bài viết được cập nhật để phản ánh cũng như điều chỉnh từ Morphisec về xác định sai trình tải xuống Ostap với backlink của Griffon thường được sử dụng bởi các mối đe dọa FIN7.
Nguồn | bleepingcomputer
