WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Tấn công Smoke Loader mới lấy cắp các thông tin xác thực
Một chiến dịch lây nhiễm mã độc Smoke Loader mới được phát hiện nhằm lấy cắp thông tin đăng nhập từ một loạt các ứng dụng, bao gồm trình duyệt web, ứng dụng email,...
Đầu tiên, các email chứa mã độc đính kèm tài liệu Word được gửi tới các nạn nhân. Thông qua phương thức social engineering, những kẻ tấn công dụ dỗ nạn nhân mở file đính kèm và kích hoạt một macro nhúng trong tài liệu.
Theo báo cáo của Cisco Talos, sau khi được kích hoạt, macro khởi tạo bước thứ hai và tải xuống malware TrickBot thông qua backdoor Smoke Loader.
Smoke Loader từ lâu được sử dụng như một trình tải cho nhiều dòng malware khác nhau, bao gồm các Trojan ngân hàng, ransomware và mã độc đào tiền ảo. Trong một số chiến dịch trước đó, Smoke Loader cũng được dùng để tải TrickBot, nhưng dường như lần này tình hình có sự thay đổi rõ rệt.
Các nhà nghiên cứu bảo mật tiết lộ biến thể backdoor mới, không lộ diện trong danh sách các tiến trình để tránh bị phát hiện việc chèn code, thay vào đó được gọi là Windows API GetShellWindow, và sau đó là GetWindowThreadProcessId để lấy ID tiến trình của evfdxplorer.exe. Mã độc này cũng sử dụng kỹ thuật PROPagate để chèn mã vào Explorer.
Lần đầu được phát hiện vào cuối năm 2017, cho đến hiện tại chưa có mã độc mới nào sử dụng kỹ thuật trên và hiện cũng chưa có PoC về mã độc này được công khai. Smoke Loader là mã độc đầu tiên sử dụng kỹ thuật này, và FireEye cũng đã công bố vấn đề này vào ngày 28/6.
Malware này cũng bao gồm một loạt các kỹ thuật chống phân tích, chống gỡ lỗi (debugging) và chống check VM.
Không giống các cuộc tấn công trước đó, khi Smoke Loader thả các trình tải bổ sung, backdoor được quan sát sẽ tiếp nhận năm plugin thay thế. Mỗi plugin thực thi một tiến trình Explorer.exe riêng, nhưng các kỹ thuật cũ hơn vẫn được sử dụng để đưa mỗi plugin vào các tiến trình này. Kết quả là có đến sáu tiến trình Explorer.exe đang chạy trên một máy bị lây nhiễm.
Tất cả các plugin được thiết kế để ăn cắp thông tin nhạy cảm từ máy nạn nhân và rõ ràng nhắm mục tiêu vào các thông tin đăng nhập được lưu trữ và thông tin nhạy cảm được chuyển qua trình duyệt.
Plugin đầu tiên có khoảng 2.000 chức năng và mục tiêu của nó là Firefox, Internet Explorer, Chrome, Opera, Trình duyệt QQ, Outlook và Thunderbird để lấy cắp tên máy chủ, tên người dùng và mật khẩu. Ngoài ra, plugin này lấy cắp thông tin từ Windows Credential Manager, cũng như thông tin đăng nhập POP3, SMTP, IMAP.
Plugin thứ hai tìm kiếm thông qua file thư mục để phân tích cú pháp và lấy cắp thông tin. Plugin thứ ba cài vào trình duyệt để tiếp cận được thông tin đăng nhập và cookie, plugin thứ tư lấy cắp thông tin đăng nhập của ftp, smtp, pop3 và imap, trong khi plug thứ năm lây nhiễm TeamViewer.exe để lấy cắp thông tin xác thực.
Hãng Talos nhận định: “Chúng tôi nhận thấy thị trường Trojan và botnet liên tục thay đổi. Tin tặc liên tục cải thiện năng lực và kỹ thuật của mình để vượt qua các công cụ bảo mật. Điều này cho thấy tầm quan trọng của việc đảm bảo tất cả các hệ thống phải được cập nhật”.
Theo báo cáo của Cisco Talos, sau khi được kích hoạt, macro khởi tạo bước thứ hai và tải xuống malware TrickBot thông qua backdoor Smoke Loader.
Smoke Loader từ lâu được sử dụng như một trình tải cho nhiều dòng malware khác nhau, bao gồm các Trojan ngân hàng, ransomware và mã độc đào tiền ảo. Trong một số chiến dịch trước đó, Smoke Loader cũng được dùng để tải TrickBot, nhưng dường như lần này tình hình có sự thay đổi rõ rệt.
Các nhà nghiên cứu bảo mật tiết lộ biến thể backdoor mới, không lộ diện trong danh sách các tiến trình để tránh bị phát hiện việc chèn code, thay vào đó được gọi là Windows API GetShellWindow, và sau đó là GetWindowThreadProcessId để lấy ID tiến trình của evfdxplorer.exe. Mã độc này cũng sử dụng kỹ thuật PROPagate để chèn mã vào Explorer.
Lần đầu được phát hiện vào cuối năm 2017, cho đến hiện tại chưa có mã độc mới nào sử dụng kỹ thuật trên và hiện cũng chưa có PoC về mã độc này được công khai. Smoke Loader là mã độc đầu tiên sử dụng kỹ thuật này, và FireEye cũng đã công bố vấn đề này vào ngày 28/6.
Malware này cũng bao gồm một loạt các kỹ thuật chống phân tích, chống gỡ lỗi (debugging) và chống check VM.
Không giống các cuộc tấn công trước đó, khi Smoke Loader thả các trình tải bổ sung, backdoor được quan sát sẽ tiếp nhận năm plugin thay thế. Mỗi plugin thực thi một tiến trình Explorer.exe riêng, nhưng các kỹ thuật cũ hơn vẫn được sử dụng để đưa mỗi plugin vào các tiến trình này. Kết quả là có đến sáu tiến trình Explorer.exe đang chạy trên một máy bị lây nhiễm.
Tất cả các plugin được thiết kế để ăn cắp thông tin nhạy cảm từ máy nạn nhân và rõ ràng nhắm mục tiêu vào các thông tin đăng nhập được lưu trữ và thông tin nhạy cảm được chuyển qua trình duyệt.
Plugin đầu tiên có khoảng 2.000 chức năng và mục tiêu của nó là Firefox, Internet Explorer, Chrome, Opera, Trình duyệt QQ, Outlook và Thunderbird để lấy cắp tên máy chủ, tên người dùng và mật khẩu. Ngoài ra, plugin này lấy cắp thông tin từ Windows Credential Manager, cũng như thông tin đăng nhập POP3, SMTP, IMAP.
Plugin thứ hai tìm kiếm thông qua file thư mục để phân tích cú pháp và lấy cắp thông tin. Plugin thứ ba cài vào trình duyệt để tiếp cận được thông tin đăng nhập và cookie, plugin thứ tư lấy cắp thông tin đăng nhập của ftp, smtp, pop3 và imap, trong khi plug thứ năm lây nhiễm TeamViewer.exe để lấy cắp thông tin xác thực.
Hãng Talos nhận định: “Chúng tôi nhận thấy thị trường Trojan và botnet liên tục thay đổi. Tin tặc liên tục cải thiện năng lực và kỹ thuật của mình để vượt qua các công cụ bảo mật. Điều này cho thấy tầm quan trọng của việc đảm bảo tất cả các hệ thống phải được cập nhật”.
Theo Securityweek