Chiến dịch này được phát hiện liên quan đến nhiều tác nhân đe dọa, bao gồm nhóm tấn công đứng sau ClearFake - một nhóm tấn công mới có tên ClickFix và TA571, nhóm đe dọa được biết đến với việc gửi lượng lớn thư rác, dẫn đến lây nhiễm phần mềm độc hại và ransomware. Các cuộc tấn công ClearFake trước đây sử dụng lớp phủ (website overlay) để lừa mục tiêu cài đặt bản cập nhật trình duyệt giả mạo dẫn đến lây nhiễm phần mềm độc hại.

Các tác nhân đe dọa cũng sử dụng JavaScript trong tệp đính kèm HTML và các trang web bị xâm nhập trong các cuộc tấn công mới. Các cuộc tấn công overlay hiển thị các thông báo lỗi giả mạo của Google Chrome, Microsoft Word và OneDrive. Những lỗi này nhắc khách truy cập nhấp vào nút để sao chép "bản sửa lỗi" PowerShell vào vùng nhớ tạm (clipboard), sau đó dán và thực thi nó trong hộp thoại Run hoặc PowerShell prompt.

Nhà nghiên cứu bảo mật từ ProofPoint (Mỹ) đã cảnh báo: “Mặc dù chuỗi tấn công đòi hỏi sự tương tác đáng kể từ người dùng để thành công, tuy nhiên kẻ tấn công có thể kết hợp social engineering để thao túng người dùng hành động mà không cân nhắc rủi ro”. Các mẫu phần mềm độc hại mà Proofpoint phát hiện bao gồm DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig và Lumma Stealer.

Các chuỗi lây nhiễm mã độc

Proofpoint đã phát hiện ba chuỗi tấn công khác nhau trong chiến dịch phát tán mã độc mới này.

Trường hợp đầu tiên liên quan đến các tác nhân đe dọa đằng sau ClearFake. Người dùng truy cập một trang web bị xâm nhập để tải tập lệnh độc hại được lưu trữ trên blockchain thông qua các ‘Smart Chain contract’ của Binance.

Tập lệnh này thực hiện một số kiểm tra và hiển thị cảnh báo giả mạo của Google Chrome cho biết có sự cố khi hiển thị trang web. Sau đó, hộp thoại sẽ nhắc người dùng cài đặt "root certificate" bằng cách sao chép tập lệnh PowerShell vào clipboard của Windows và chạy tập lệnh đó trong bảng điều khiển Windows PowerShell [với quyền quản trị viên/admin].

Thông báo lỗi Google Chrome giả mạo (Nguồn: Proofpoint)

Khi được thực thi, tập lệnh PowerShell sẽ thực hiện nhiều bước khác nhau để xác nhận thiết bị là mục tiêu hợp lệ và sau đó tải xuống các payload bổ sung. Các bước được thực hiện gồm có:

- Xóa bộ đệm DNS.

- Xóa nội dung clipboard.

- Hiển thị tin nhắn mồi nhử.

- Tải xuống tập lệnh PowerShell khác dùng để thực hiện các kiểm tra chống máy ảo (anti-VM) trước khi tải xuống phần mềm đánh cắp thông tin.

Chuỗi tấn công ClearFake (Nguồn: Proofpoint)

Chuỗi tấn công thứ hai liên quan đến chiến dịch ClickFix đang lạm dụng các trang web bị xâm phạm để tạo một iframe nhằm phủ lên một thông báo lỗi Google Chrome giả mạo khác. Người dùng được hướng dẫn mở "Windows PowerShell (Admin)" và dán mã được cung cấp, dẫn đến các trường hợp lây nhiễm tương tự nêu trên.

Cuối cùng, chuỗi lây nhiễm dựa trên email sử dụng tệp đính kèm HTML giống với tài liệu Microsoft Word sẽ nhắc người dùng cài đặt tiện ích "Word Online" để xem tài liệu.

Thông báo lỗi cung cấp các tùy chọn "Cách khắc phục" (How to fix) và "Tự động vá" (Auto-fix), trong đó tùy chọn "Cách khắc phục" sao chép lệnh PowerShell được mã hóa base64 vào clipboard, hướng dẫn người dùng dán lệnh đó vào PowerShell. "Tự động vá" sử dụng giao thức search-ms để hiển thị tệp "fix.msi" hoặc "fix.vbs" được lưu trữ trên WebDAV trên một tệp chia sẻ do kẻ tấn công kiểm soát từ xa.

Thông báo lỗi Microsoft Word giả mạo (Nguồn: Proofpoint)

Trong trường hợp này, các lệnh PowerShell tải xuống và thực thi tệp MSI hoặc VBS, dẫn đến lây nhiễm mã độc Matanbuchus hoặc DarkGate tương ứng.

Trong mọi trường hợp, kẻ tấn công khai thác sự thiếu cảnh giác của mục tiêu về những rủi ro khi thực thi lệnh PowerShell trên hệ thống của họ và lợi dụng việc Windows không có khả năng phát hiện và ngăn chặn các hành động độc hại do mã dán gây ra.

Các chuỗi tấn công khác nhau cho thấy nhóm đe dọa đang tiến hành thử nghiệm nhiều phương pháp để tăng tỉ lệ thành công và tìm nhiều cách lây nhiễm hơn nhằm xâm phạm số lượng lớn hơn các hệ thống.

Để bảo vệ mình trước các chiến dịch độc hại như vậy, người dùng luôn phải cảnh giác khi nhận được các email lạ hay thông báo lỗi/thông báo cập nhật đáng ngờ, tuyệt đối KHÔNG nhấp vào liên kết hoặc mở tệp đính kèm từ các nguồn không tin cậy. Người dùng chỉ nên cài đặt các bản cập nhật phần mềm từ nguồn chính thức như trang web của nhà cung cấp hoặc qua tính năng cập nhật tự động của phần mềm.