Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trình nâng cấp Windows 11 giả mạo phát tán mã độc RedLine
Hacker phát tán các bản cài đặt nâng cấp Windows 11 giả mạo tới người dùng Windows 10, lừa họ tải xuống và thực thi mã độc lấy cắp thông tin RedLine.
Thời điểm xảy ra các cuộc tấn công trùng với thời điểm Microsoft công bố giai đoạn triển khai rộng rãi của Windows 11. Có thể thấy, hacker đã chuẩn bị kỹ lưỡng và chờ đợi thời điểm thích hợp để tối đa hóa thành công chiến dịch của mình.
Mã độc RedLine hiện là công cụ lấy cắp mật khẩu, cookie trình duyệt, thông tin thẻ tín dụng và ví điện tử được triển khai rộng rãi nhất, vì vậy việc lây nhiễm của nó có thể gây ra hậu quả nghiêm trọng cho nạn nhân.
Chiến dịch
Theo các nhà nghiên cứu HP - những người phát hiện chiến dịch, hacker đã sử dụng miền “windows-upgraded.com” có vẻ hợp pháp để phát tán mã độc.
Trang web này gần giống một trang web chính thống của Microsoft và nếu người dùng nhấp vào ‘Download Now’, họ sẽ nhận được một tệp lưu trữ ZIP 1,5 MB có tên “Windows11InstallationAssistant.zip”, được tải trực tiếp từ Discord CDN.
Website giả mạo được sử dụng để phát tán mã độc (HP)
Việc giải nén tệp sẽ tạo ra một thư mục có kích thước 753MB, cho thấy tỷ lệ nén ấn tượng 99,8%, đạt được nhờ việc sử dụng ký tự đệm trong quá trình nén.
Khi nạn nhân khởi chạy tệp thực thi trong thư mục, quá trình PowerShell với đối số được mã hóa sẽ bắt đầu.
Tiếp theo, tiến trình cmd.exe được khởi chạy với thời gian chờ là 21 giây. Hết thời gian này, tệp .jpg sẽ được tìm nạp từ một máy chủ web từ xa.
Tệp này chứa một DLL có nội dung được sắp xếp ở dạng reverse, để tránh bị phát hiện và phân tích.
Cuối cùng, quy trình ban đầu tải DLL và thay thế cho ngữ cảnh luồng hiện tại. DLL đó là payload RedLine kết nối với máy chủ C&C thông qua TCP để nhận hướng dẫn về các tác vụ độc hại mà nó phải chạy tiếp theo trên hệ thống.
Tải và thực thi Redline (HP)
Đánh giá
Mặc dù trang web phát tán mã độc hiện đã ngừng hoạt động, nhưng không có gì ngăn cản hacker thiết lập miền mới và bắt đầu lại chiến dịch. Điều này rất có thể đã xảy ra trong thực tế.
Windows 11 là bản nâng cấp lớn mà nhiều người dùng Windows 10 không thể nhận được từ các kênh phân phối chính thức do không tương thích phần cứng, điều mà những kẻ phát tán mã độc coi là cơ hội tuyệt vời để tìm ra nạn nhân mới.
BleepingComputer từng báo cáo vào tháng 1, hacker cũng đang tận dụng các ứng dụng khách cập nhật hợp pháp của Windows để thực thi mã độc, vì vậy chiến dịch mà HP báo cáo không đáng ngạc nhiên vào thời điểm này.
Cần lưu ý rằng, các trang web nguy hiểm này được quảng bá thông qua các bài đăng trên diễn đàn và mạng xã hội hoặc tin nhắn. Vì vậy, đừng tin tưởng bất cứ thông tin gì ngoài thông báo chính thức của hệ thống nâng cấp Windows.
Thời điểm xảy ra các cuộc tấn công trùng với thời điểm Microsoft công bố giai đoạn triển khai rộng rãi của Windows 11. Có thể thấy, hacker đã chuẩn bị kỹ lưỡng và chờ đợi thời điểm thích hợp để tối đa hóa thành công chiến dịch của mình.
Mã độc RedLine hiện là công cụ lấy cắp mật khẩu, cookie trình duyệt, thông tin thẻ tín dụng và ví điện tử được triển khai rộng rãi nhất, vì vậy việc lây nhiễm của nó có thể gây ra hậu quả nghiêm trọng cho nạn nhân.
Chiến dịch
Theo các nhà nghiên cứu HP - những người phát hiện chiến dịch, hacker đã sử dụng miền “windows-upgraded.com” có vẻ hợp pháp để phát tán mã độc.
Trang web này gần giống một trang web chính thống của Microsoft và nếu người dùng nhấp vào ‘Download Now’, họ sẽ nhận được một tệp lưu trữ ZIP 1,5 MB có tên “Windows11InstallationAssistant.zip”, được tải trực tiếp từ Discord CDN.
Website giả mạo được sử dụng để phát tán mã độc (HP)
Việc giải nén tệp sẽ tạo ra một thư mục có kích thước 753MB, cho thấy tỷ lệ nén ấn tượng 99,8%, đạt được nhờ việc sử dụng ký tự đệm trong quá trình nén.
Khi nạn nhân khởi chạy tệp thực thi trong thư mục, quá trình PowerShell với đối số được mã hóa sẽ bắt đầu.
Tiếp theo, tiến trình cmd.exe được khởi chạy với thời gian chờ là 21 giây. Hết thời gian này, tệp .jpg sẽ được tìm nạp từ một máy chủ web từ xa.
Tệp này chứa một DLL có nội dung được sắp xếp ở dạng reverse, để tránh bị phát hiện và phân tích.
Cuối cùng, quy trình ban đầu tải DLL và thay thế cho ngữ cảnh luồng hiện tại. DLL đó là payload RedLine kết nối với máy chủ C&C thông qua TCP để nhận hướng dẫn về các tác vụ độc hại mà nó phải chạy tiếp theo trên hệ thống.
Tải và thực thi Redline (HP)
Đánh giá
Mặc dù trang web phát tán mã độc hiện đã ngừng hoạt động, nhưng không có gì ngăn cản hacker thiết lập miền mới và bắt đầu lại chiến dịch. Điều này rất có thể đã xảy ra trong thực tế.
Windows 11 là bản nâng cấp lớn mà nhiều người dùng Windows 10 không thể nhận được từ các kênh phân phối chính thức do không tương thích phần cứng, điều mà những kẻ phát tán mã độc coi là cơ hội tuyệt vời để tìm ra nạn nhân mới.
BleepingComputer từng báo cáo vào tháng 1, hacker cũng đang tận dụng các ứng dụng khách cập nhật hợp pháp của Windows để thực thi mã độc, vì vậy chiến dịch mà HP báo cáo không đáng ngạc nhiên vào thời điểm này.
Cần lưu ý rằng, các trang web nguy hiểm này được quảng bá thông qua các bài đăng trên diễn đàn và mạng xã hội hoặc tin nhắn. Vì vậy, đừng tin tưởng bất cứ thông tin gì ngoài thông báo chính thức của hệ thống nâng cấp Windows.
Theo BleepingComputer