Chiến dịch này có sự tham gia của nhiều tác nhân đe dọa, bao gồm cả những kẻ đứng sau ClearFake – một nhóm tấn công mới có tên ClickFix và TA571, một nhóm đe dọa nổi tiếng với việc gửi một lượng lớn thư rác, dẫn đến lây nhiễm phần mềm độc hại và ransomware.
Các cuộc tấn công ClearFake trước đây đã sử dụng lớp phủ trang web để lừa mục tiêu cài đặt các bản cập nhật trình duyệt giả mạo dẫn đến lây nhiễm phần mềm độc hại.
Các tác nhân đe dọa cũng sử dụng JavaScript trong tệp đính kèm HTML và các trang web bị xâm nhập trong các cuộc tấn công mới. Các cuộc tấn công lớp phủ hiển thị thông báo lỗi giả mạo của Google Chrome, Microsoft Word và OneDrive.
Những lỗi này nhắc khách truy cập nhấp vào nút để sao chép “bản vá” PowerShell vào khay nhớ tạm, sau đó dán và thực thi nó trong hộp thoại Chạy hoặc lời nhắc PowerShell.
Nhà nghiên cứu cho biết: “Mặc dù chuỗi tấn công yêu cầu sự tương tác đáng kể của người dùng để thành công, nhưng những kẻ tấn công có thể kết hợp kỹ thuật xã hội để thao túng người dùng hành động mà không tính đến rủi ro”. Bảo mật khỏi cảnh báo ProofPoint.
Các mẫu phần mềm độc hại được Proofpoint phát hiện bao gồm DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig và Lumma Stealer.
Chuỗi lây nhiễm phần mềm độc hại
Proofpoint đã phát hiện ba chuỗi tấn công khác nhau trong chiến dịch phân phối phần mềm độc hại mới này.
Trường hợp đầu tiên liên quan đến các tác nhân đe dọa đằng sau ClearFake, một người dùng truy cập trang web bị xâm nhập để tải xuống tập lệnh độc hại được lưu trữ trên blockchain thông qua 'hợp đồng Chuỗi thông minh' của Binance.
Tập lệnh này thực hiện một số kiểm tra và hiển thị cảnh báo Google Chrome giả mạo cho biết có sự cố khi hiển thị trang web. Sau đó, hộp thoại sẽ nhắc người dùng cài đặt “chứng chỉ gốc” bằng cách sao chép tập lệnh PowerShell vào bảng tạm của Windows và chạy nó trong bảng điều khiển Windows PowerShell [với quyền quản trị viên/admin].
Khi được thực thi, tập lệnh PowerShell sẽ thực hiện nhiều bước khác nhau để xác nhận thiết bị là mục tiêu hợp lệ, sau đó tải xuống các tải trọng bổ sung. Các bước thực hiện bao gồm:
– Xóa bộ đệm DNS.
– Xóa nội dung clipboard.
– Hiển thị tin nhắn mồi nhử.
– Tải xuống tập lệnh PowerShell khác có chức năng thực hiện kiểm tra chống máy ảo (anti-VM) trước khi tải xuống phần mềm đánh cắp thông tin.
Chuỗi tấn công thứ hai liên quan đến chiến dịch 'ClickFix' đang lạm dụng các trang web bị xâm nhập để tạo iframe nhằm che phủ một thông báo lỗi Google Chrome giả mạo khác. Người dùng được hướng dẫn mở “Windows PowerShell (Quản trị viên)” và dán mã được cung cấp, dẫn đến các trường hợp lây nhiễm tương tự nêu trên.
Cuối cùng, chuỗi lây nhiễm dựa trên email sử dụng tệp đính kèm HTML giống với tài liệu Microsoft Word để nhắc người dùng cài đặt tiện ích mở rộng “Word Online” để xem tài liệu.
Thông báo lỗi cung cấp các tùy chọn “Cách khắc phục” và “Tự động sửa”, trong đó tùy chọn “Cách khắc phục” sao chép lệnh PowerShell được mã hóa base64 vào bảng nhớ tạm, hướng dẫn người dùng dán lệnh đó vào PowerShell. “Tự động vá” sử dụng giao thức search-ms để hiển thị tệp “fix.msi” hoặc “fix.vbs” được lưu trữ trên WebDAV trên chia sẻ tệp do kẻ tấn công từ xa kiểm soát.
Trong trường hợp này, các lệnh PowerShell tải xuống và thực thi các tệp MSI hoặc VBS, dẫn đến việc lây nhiễm Matanbuchus hoặc DarkGate tương ứng.
Trong mọi trường hợp, kẻ tấn công khai thác sự thiếu nhận thức của mục tiêu về rủi ro khi thực thi các lệnh PowerShell trên hệ thống của họ và lợi dụng việc Windows không có khả năng phát hiện và ngăn chặn các hành động độc hại. gây ra bởi mã dán.
Các chuỗi tấn công khác nhau cho thấy TA571 đang thử nghiệm nhiều phương pháp để tăng tỷ lệ thành công và tìm ra nhiều cách hơn để lây nhiễm vào số lượng lớn hơn các hệ thống.
Để bảo vệ mình trước những chiến dịch độc hại như vậy, người dùng phải luôn cảnh giác khi nhận được email lạ hoặc thông báo cập nhật/lỗi đáng ngờ, tuyệt đối KHÔNG nhấp vào liên kết hoặc mở tệp đính kèm từ các nguồn không đáng tin cậy. Người dùng chỉ nên cài đặt các bản cập nhật phần mềm từ nguồn chính thức như trang web của nhà cung cấp hoặc thông qua tính năng cập nhật tự động của phần mềm.
Link nguồn: https://cafef.vn/tin-tac-gia-mao-thong-bao-loi-google-chrome-word-de-lua-nguoi-dung-188240621071300948.chn