Blog Fortinet: NHỮNG FILE PDF LỪA ĐẢO DẪN ĐẾN LÂY NHIỄM REMOTE ACCESS TROJAN (RAT), MỤC TIÊU NHẮM VÀO NGƯỜI SỬ DỤNG TIẾNG PHÁP.

Blog Fortinet – Những nhà phát triển malware sử dụng nhiều phương pháp phân loại khác nhau để làm cho người sử dụng bị nhầm lẫn và tránh né những giải pháp về Anti-Virus. Mới đây, Fortiguard Labs đã tìm thấy một chiến dịch lừa đảo nhắm vào ngôn ngữ Pháp. Trong chiến dịch này, một đoạn javascript được nhúng vào trong file PDF được tải về từ Google Drive dạng chia sẻ link. Khi file được mở ra, file tải về là một file HTA (HTML Application). Định dạng này trở nên ngày một phổ biến, như là một điểm để khởi động những phần mềm độc hại. Nó thường được sử dụng để tải những dữ liệu dạng nhị phân hiện nay. Tuy nhiên trong chiến dịch này, dữ liệu nhị phân được tìm thấy sau này là một NanoCore RAT client, được nhúng trong những file HTA. Bằng cách này HTA file có hiệu quả trong việc đóng vai trò cố gắng vượt qua những kiểu quét file truyền thống trong hệ thống mạng cũng như là trong những dịch vụ về Anti-Spam.

Kill Chain Analysis:

Fig. 1 Kill Chain
Fig. 1 Kill Chain

Trong chiến dịch thư rác này, các hacker sẽ dẫn dụ người sử dụng có khả năng nói tiếng Pháp mở file PDF đính kèm, thông qua đề nghị cho vay của ngân hàng nhưng là đề nghị giả mạo.

Fig. 2 Spam mail in French with attached malicious PDF
Fig. 2 Spam mail in French with attached malicious PDF

Khi mà người sử dụng không nghi ngờ và mở file PDF, đoạn code jacscript được nhúng vào sẽ thực thi, cố gắng tải những file HTA độc hại từ Google Drive Shared Link. Nhưng may thay sự việc này sẽ kích hoạt một tin nhắn cảnh báo bảo mật từ Adobe Reader. Để vượt qua cảnh báo này, tuy nhiên những người tạo ra các mối đe dọa lợi dụng uy tín của những Google Download Site, cái mà người sử dụng sẽ tin tưởng rằng luôn luôn an toàn, với việc tin tưởng như vậy những file tải về có thể được tin tưởng là an toàn. Thêm vào đó , văn bản PDF cũng tuyên bố rằng người sử dụng những Flash Player quá hạn, ngụ ý rằng File được tải về sẽ được yêu cầu nâng cấp bản mới hơn.

Fig. 3 Javascript in PDF attempts to download from Google Drive
Fig. 3 Javascript in PDF attempts to download from Google Drive

Google Drive có những giải pháp bảo mật và quét virut cho một File, Trước khi File đó được tải về hoặc chia sẻ. Dưới đây là hình ảnh cho thấy tính năng chia sẻ link trong Google Drive được đánh dấu là mối nguy hiểm.

Fig. 4 Google Drive shared link flagged as malicious
Fig. 4 Google Drive shared link flagged as malicious

Trong phân tích của chúng tôi, tuy nhiên vì một vài lí do nên những File nguy hiểm không được phát hiện khiến nó trở lên có hiệu quả trong việc tấn công. Những File tải về là những File HTA với đoạn mã VBScript, cái mà có thể giải mã dữ liệu nhị phân được nhúng vào, được viết cho %TEMP%  và Execute của người sử dụng. Sau khi nghiên cứu, dữ liệu được xác định là NanoCore RAT (Remote Administration Tool)

Fig. 5 HTA with embedded binary payload
Fig. 5 HTA with embedded binary payload

NanoCore

NanoCore không phải là một cái tên mới trong nền công nghiệp RAT. Với giá trị là 25$, NanoCore được xuất hiện rất sớm vào năm 2013 kèm theo đó là 1 vài phản hồi, báo cáo. RAT đã thực hiện rất tốt việc làm cân bằng giữa giám sát và thất thoát dữ liệu hoặc giữa việc là một công cụ quản lý và công cụ cho các hacker. Nó đưa ra báo cáo rằng người tạo ra NanoCore đã bán nó cho các hacker. Điều này không ngăn chặn được bọn lừa đảo phân phối nó, tuy nhiên đặc biệt là khi những công cụ của builder đã bị bẻ khóa và được phân phối miễn phí trên các diễn đàn hacking.

Fig. 6 Decompiled NanoCore client
Fig. 6 Decompiled NanoCore client

Điều kiển từ xa, quản lý tập tin, thực thi lệnh tải về và thu thập mật khẩu chỉ là một ít trong số những khả năng mà NanoCore có thể gợi ý cho người sử dụng nó. Dưới đây là một hình chụp về giao diện của NanoCore phiên bản mới nhất đã được bẻ khóa, được phát hành vào năm 2015.

Fig. 7 Cracked version of NanoCore (1.2.2.0 builder)
Fig. 7 Cracked version of NanoCore (1.2.2.0 builder)

Giải pháp:

Fortimail: block tất cả những email nào là spam.

Fortiguard Antivirus phát hiện tất cả những biến thể có liên quan.

Fortiguard Webfilter sẽ block và đánh dấu những URL và C&C nào có chứa mối nguy hiểm.

Kết luận:

Tập trung vào những chi tiết bên trong như là tên file và uy tín của trang web tải về, những người tạo ra mối đe dọa này tiếp tục sử dụng những cách sáng tạo hơn để đạt được sự tin tưởng của người sử dụng. Như đã được biết trong bài báo này, chiến dịch này lợi dụng danh tiếng của Google Drive để phát tán mã độc và nó cũng có những kỹ thuật riêng để trốn tránh các các biện pháp an ninh mạng cơ bản.

Hơn nữa, dường như rõ rang rằng những nhà phát triển RAT khi bị phát hiện cung cấp thông tin cho hacker thì sẽ không bị ảnh hưởnng đến việc xác thực của các ứng dụng trong ngành công nghiệp bảo mật. Cùng với tất cả những lợi ích của các công cụ quản ly miễn phí, một vài người tò mò sẽ tải về dùng thử

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.