Nghiên cứu mới nhất của FortiGuard Labs thuộc Fortinet nêu bật một chiến dịch lừa đảo mới được phát hiện, lợi dụng các email được thiết kế cẩn thận để gửi các URL liên kết đến các trang lừa đảo giả mạo. Các trang này được thiết kế để dụ người nhận tải xuống các tệp JavaScript hoạt động như trình thả mã độc UpCrypter, phần mềm độc hại cuối cùng triển khai nhiều công cụ truy cập từ xa (RAT) khác nhau.
Trang web giả mạo được cá nhân hóa bằng tên miền email của mục tiêu, giúp tăng cường độ tin cậy. Nghiên cứu mới nhất mô tả một chuỗi lây nhiễm sử dụng nhiều phương pháp khác nhau để dụ nạn nhân và phát tán thành công một số RAT, bao gồm PureHVNC, DCRat và Babylon RAT.
Như nghiên cứu đã chứng minh, kẻ tấn công giờ đây có thể dễ dàng tạo email lừa đảo và trang web giả mạo bằng các công cụ sẵn có trên mạng. Những công cụ này cho phép chúng xây dựng một hệ thống hoàn chỉnh để phát tán phần mềm độc hại, chứ không chỉ đơn thuần là thực hiện các vụ lừa đảo.
Vấn đề không chỉ nằm ở việc đánh cắp thông tin đăng nhập email, vì một khi đã xâm nhập được vào hệ thống, kẻ tấn công có thể kiểm soát hệ thống trong một thời gian dài. Người dùng và tổ chức nên nghiêm túc xem xét mối đe dọa này, sử dụng bộ lọc email mạnh mẽ và đảm bảo nhân viên được đào tạo để nhận biết và tránh các loại tấn công này.
Bạn có thể tìm thấy bình luận bổ sung từ một số nguồn chuyên gia của tôi bên dưới.
Frankie Sclafani, Giám đốc Bộ phận Hỗ trợ An ninh mạng at đồng hồ sâu
“Các tổ chức trên toàn thế giới cần lưu ý rằng chiến dịch lừa đảo UpCrypter là một mối đe dọa cực kỳ tinh vi và nguy hiểm. Đây là một quy trình tấn công hoàn chỉnh được thiết kế để bí mật cài đặt một phần mềm độc hại dai dẳng vào mạng của bạn.
Chiến dịch này đang hoạt động trên quy mô toàn cầu. Theo FortiGuard Labs, chỉ trong hai tuần, số lượng phát hiện đã tăng hơn gấp đôi, phản ánh mô hình tăng trưởng nhanh chóng và mạnh mẽ. Mã độc được che giấu và chèn vào một lượng lớn mã rác để che giấu mục đích. Phần mềm độc hại sẽ quét và khởi động lại hệ thống nếu phát hiện các công cụ pháp y, trình gỡ lỗi hoặc môi trường máy ảo như any.run hoặc Wireshark.
UpCrypter sử dụng PowerShell và phản chiếu .NET để thực hiện các giai đoạn tấn công tiếp theo trực tiếp trong bộ nhớ mà không cần ghi tải trọng cuối cùng vào đĩa. Ngoài ra, dữ liệu tải được phân phối ở hai định dạng — văn bản thuần túy và được nhúng trong tệp hình ảnh bằng một dạng kỹ thuật ẩn mã — để tránh bị phát hiện tĩnh. Cuối cùng, chiến dịch cung cấp nhiều Công cụ Truy cập Từ xa (RAT) như PureHVNC, DCRat và Babylon RAT, cho phép kẻ tấn công chiếm quyền điều khiển từ xa hoàn toàn các hệ thống bị xâm nhập.
Việc đào tạo nhân viên là rất quan trọng. Hãy đảm bảo WAF, bộ lọc thư, EDR và phần mềm diệt virus của bạn được cập nhật, vì phần mềm độc hại sẽ bị phát hiện và chặn bởi các công cụ như FortiGuard Antivirus. Các đội ngũ an ninh thông minh sẽ chủ động ngăn chặn các cuộc tấn công này bằng cách sử dụng các dịch vụ tình báo mối đe dọa và triển khai các Chỉ số Rủi ro (IOC) được cung cấp.
Để ngăn chặn các tập lệnh độc hại như những tập lệnh được sử dụng trong chiến dịch này, các nhóm bảo mật nên triển khai một số biện pháp kiểm soát quan trọng. Các biện pháp này bao gồm thực thi ký tập lệnh PowerShell và sử dụng Chế độ Ngôn ngữ Ràng buộc. Nếu không cần thiết cho các hoạt động hàng ngày, hãy hạn chế việc thực thi PowerShell đối với người dùng tiêu chuẩn bằng cách điều chỉnh chính sách thực thi sang một cài đặt hạn chế hơn, chẳng hạn như AllSigned hoặc RemoteSigned.
Tuy nhiên, biện pháp kiểm soát hiệu quả nhất mà bạn có thể triển khai là Danh sách cho phép ứng dụng. Bằng cách triển khai danh sách cho phép, các nhóm bảo mật có thể ngăn chặn các trình thả JavaScript độc hại và các tải trọng RAT tiếp theo chạy, vô hiệu hóa mối đe dọa ngay cả khi người dùng bị lừa tải xuống tệp.
J Stephen Kowski, Giám đốc Công nghệ tại Bảo mật Email SlashNext+
“Điều quan trọng nhất cần hiểu là đây không phải là hành vi đánh cắp dữ liệu một lần mà là vi phạm toàn bộ hệ thống và có thể lây lan âm thầm trong mạng lưới công ty.
“Các nhóm nên tập trung phát hiện những mối đe dọa này trước khi người dùng nhấp chuột, vì chặn ở lớp email và web là biện pháp phòng thủ nhanh nhất. Phát hiện tự động, vượt qua sự che giấu trong các tập lệnh và trang web lừa đảo, là chìa khóa, vì các bộ lọc truyền thống thường bỏ qua các thủ thuật được sử dụng ở đây.
“Đào tạo nhân viên để phát hiện các chiêu trò như thư thoại giả mạo hoặc yêu cầu đặt hàng sẽ có ích, nhưng việc kết hợp với phát hiện mối đe dọa để ngăn chặn các lượt tải xuống độc hại theo thời gian thực mới thực sự ngăn chặn được kẻ tấn công.”
John Bambenek, Chủ tịch tại Tư vấn Bambenek
Nhiều chiêu trò lừa đảo qua thư thoại và hóa đơn giả mạo vẫn được kẻ tấn công ưa chuộng chỉ vì chúng hiệu quả. Tuy nhiên, trong trường hợp này, việc tìm kiếm chuỗi sự kiện mở tệp đính kèm HTML trong email dẫn đến việc sử dụng PowerShell sẽ giúp phát hiện (và hy vọng ngăn chặn) chuỗi sự kiện này một cách dễ dàng và nhanh chóng. Không phải người dùng nào cũng cần quyền truy cập PowerShell, và chắc chắn là không khi chuỗi sự kiện bắt đầu từ Outlook.exe.