Phát hiện phần mềm gián điệp Vidar ẩn mình trong các tệp trợ giúp Microsoft
Theo Diana Lopera, chuyên gia an ninh mạng của Microsoft cho biết, việc ẩn giấu dưới các tệp Trợ giúp biên dịch HTML của Microsoft sẽ giúp cho phần mềm gián điệp này không bị phát hiện trong các chiến dịch thư rác.
Vidar được biết đến là phần mềm gián điệp trên hệ điều hành Windows và cũng là phần mềm đánh cắp thông tin sẵn có mà tội phạm mạng có thể mua. Phần mềm này có thể thu thập dữ liệu hệ điều hành và người dùng, dịch vụ trực tuyến, thông tin tài khoản tiền điện tử cũng như thông tin thẻ tín dụng.
Thông thường, phần mềm này được phát tán thông qua các chiến dịch thư rác và lừa đảo. Tuy nhiên mới đây, các nhà nghiên cứu đã phát hiện thấy phần mềm độc hại C++ này cũng được phân phối thông qua bộ tải từng phần PrivateLoader và bộ công cụ khai thác Fallout.
Theo Trustwave, chiến dịch email phân phối Vidar hiện chưa quá tinh vi. Các email loại này thường chứa dòng chủ đề chung và tệp đính kèm "request.doc", thực chất là một hình ảnh đĩa .iso.
Các đuôi .iso thường chứa hai tệp: tệp Trợ giúp biên dịch HTML (CHM) của Microsoft (pss10r.chm) và tệp thực thi (app.exe).
Định dạng CHM là một tệp mở rộng trực tuyến của Microsoft để truy cập các tệp tài liệu và trợ giúp, đồng thời định dạng HTML nén có thể chứa văn bản, hình ảnh, bảng và liên kết - khi được sử dụng hợp pháp. Tuy nhiên, khi kẻ tấn công khai thác CHM, chúng có thể sử dụng định dạng để buộc Microsoft Help Viewer (hh.exe) tải các đối tượng CHM.
Khi một tệp CHM độc hại được giải nén, một đoạn mã JavaScript sẽ âm thầm chạy app.exe và khi cả hai tệp phải nằm trong cùng một thư mục, điều này có thể kích hoạt việc thực thi tải trọng Vidar.
Nhóm nghiên cứu đã thu được các mẫu Vidar được kết nối với máy chủ C&C thông qua Mastodon - một hệ thống mạng xã hội mã nguồn mở đa nền tảng. Các hồ sơ cụ thể được tìm kiếm và địa chỉ C&C được lấy từ các phần tiểu sử hồ sơ người dùng.
Điều này cho phép phần mềm độc hại thiết lập cấu hình của nó và bắt đầu thu thập dữ liệu người dùng. Ngoài ra, Vidar đã được quan sát thấy đang tải xuống và thực thi thêm các phần mềm độc hại khác.
Email lừa đảo có thể bao gồm những thông điệp chung cho đến những email đã được nhắm mục tiêu và được thiết kế phù hợp để lôi kéo nạn nhân. Những kẻ lừa đảo luôn phát triển liên tục những cách mới để xâm nhập vào hệ thống, từ việc sử dụng mạng botnet để tự đưa vào chat email hiện có trong doanh nghiệp, đến sử dụng mã QR hoặc tệp add-in Microsoft Excel XLL để phát tán phần mềm độc hại.
Theo quan sát của Trend Micro vào năm 2019 thì các tệp thường được giả mạo thành các định dạng khác trong thư lừa đảo, trong đó tệp .iso có thể được sử dụng làm nơi chứa phần mềm độc hại bao gồm LokiBot và NanoCore.
Để giảm nguy cơ bị lừa bởi kỹ thuật .iso, người dùng phải luôn cảnh giác với bất kỳ email nào chứa tài liệu lạ, cũng như không nên tải xuống hoặc mở tệp trừ khi đã xác minh được người gửi và địa chỉ email.
Karl Sigler, Giám đốc tình báo về mối đe dọa Trustwave nhận xét: “Vì chiến dịch Vidar này sử dụng kỹ thuật xã hội và lừa đảo, nên việc thường xuyên đào tạo nhận thức về bảo mật cho nhân viên là rất cần thiết. Các tổ chức cũng nên xem xét triển khai cổng email an toàn để bảo mật theo lớp “phòng thủ theo chiều sâu” nhằm lọc các loại tấn công lừa đảo này trước khi chúng truy cập vào bất kỳ hộp thư đến nào”.
Bản thân Vidar là một loại phần mềm “đánh cắp thông tin”. Do đó khi tiếp xúc với hệ thống của nạn nhân thì sẽ tiến hành thu thập càng nhiều dữ liệu có thể để gửi cho kẻ tấn công, sau đó tự xóa. Các dữ liệu này bao gồm mọi kho lưu trữ mật khẩu cục bộ, cookie của trình duyệt web, ví điện tử, cơ sở dữ liệu liên hệ và các loại dữ liệu có giá trị tiềm năng khác.
Phạm Hoàng Nam (Theo ZDnet)