Tin tặc giả mạo thông báo lỗi Google Chrome, Word để lừa người dùng

0
0

- Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các tập lệnh PowerShell độc hại nhằm cài đặt phần mềm độc hại.

Chiến dịch này liên quan đến nhiều tác nhân đe dọa, bao gồm những kẻ đứng sau ClearFake - một nhóm tấn công mới có tên ClickFix và TA571, nhóm đe dọa được biết đến với việc gửi lượng lớn thư (email) rác, dẫn đến lây nhiễm phần mềm độc hại và ransomware.

Các cuộc tấn công ClearFake trước đây sử dụng lớp phủ (website overlay) để lừa mục tiêu cài đặt bản cập nhật trình duyệt giả mạo dẫn đến lây nhiễm phần mềm độc hại.

Các tác nhân đe dọa cũng sử dụng JavaScript trong tệp đính kèm HTML và các trang web bị xâm nhập trong các cuộc tấn công mới. Các cuộc tấn công overlay hiển thị các thông báo lỗi giả mạo của Google Chrome, Microsoft Word và OneDrive.

Những lỗi này nhắc khách truy cập nhấp vào nút để sao chép "bản vá" PowerShell vào vùng nhớ tạm (clipboard), sau đó dán và thực thi nó trong hộp thoại Run hoặc PowerShell prompt.

 

“Mặc dù chuỗi tấn công đòi hỏi sự tương tác đáng kể từ người dùng để thành công, tuy nhiên kẻ tấn công có thể kết hợp social engineering để thao túng người dùng hành động mà không cân nhắc rủi ro”, nhà nghiên cứu bảo mật từ ProofPoint cảnh báo.

Các mẫu phần mềm độc hại mà Proofpoint phát hiện bao gồm DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig và Lumma Stealer.

Các chuỗi lây nhiễm mã độc

Proofpoint đã phát hiện ba chuỗi tấn công khác nhau trong chiến dịch phát tán mã độc mới này.

Trường hợp đầu tiên liên quan đến các tác nhân đe dọa đằng sau ClearFake, người dùng truy cập một trang web bị xâm nhập để tải tập lệnh độc hại được lưu trữ trên blockchain thông qua các ‘Smart Chain contract’ của Binance.

Tập lệnh này thực hiện một số kiểm tra và hiển thị cảnh báo giả mạo của Google Chrome cho biết có sự cố khi hiển thị trang web. Sau đó, hộp thoại sẽ nhắc người dùng cài đặt "root certificate" bằng cách sao chép tập lệnh PowerShell vào clipboard của Windows và chạy tập lệnh đó trong bảng điều khiển Windows PowerShell [với quyền quản trị viên/admin].

Thông báo lỗi Google Chrome giả mạo
Thông báo lỗi Google Chrome giả mạo

Khi được thực thi, tập lệnh PowerShell sẽ thực hiện nhiều bước khác nhau để xác nhận thiết bị là mục tiêu hợp lệ và sau đó tải xuống các payload bổ sung. Các bước được thực hiện gồm có:

- Xóa bộ đệm DNS.

- Xóa nội dung clipboard.

- Hiển thị tin nhắn mồi nhử.

- Tải xuống tập lệnh PowerShell khác dùng để thực hiện các kiểm tra chống máy ảo (anti-VM) trước khi tải xuống phần mềm đánh cắp thông tin.

Chuỗi tấn công thứ hai liên quan đến chiến dịch 'ClickFix' đang lạm dụng các trang web bị xâm phạm để tạo một iframe nhằm phủ lên một thông báo lỗi Google Chrome giả mạo khác. Người dùng được hướng dẫn mở "Windows PowerShell (Admin)" và dán mã được cung cấp, dẫn đến các trường hợp lây nhiễm tương tự nêu trên.

Cuối cùng, chuỗi lây nhiễm dựa trên email sử dụng tệp đính kèm HTML giống với tài liệu Microsoft Word sẽ nhắc người dùng cài đặt tiện ích "Word Online" để xem tài liệu.

Thông báo lỗi cung cấp các tùy chọn "Cách khắc phục" (How to fix) và "Tự động vá" (Auto-fix), trong đó tùy chọn "Cách khắc phục" sao chép lệnh PowerShell được mã hóa base64 vào clipboard, hướng dẫn người dùng dán lệnh đó vào PowerShell. "Tự động vá" sử dụng giao thức search-ms để hiển thị tệp "fix.msi" hoặc "fix.vbs" được lưu trữ trên WebDAV trên một tệp chia sẻ do kẻ tấn công kiểm soát từ xa.

Thông báo lỗi Microsoft Word giả mạo
Thông báo lỗi Microsoft Word giả mạo

Trong trường hợp này, các lệnh PowerShell tải xuống và thực thi tệp MSI hoặc VBS, dẫn đến lây nhiễm mã độc Matanbuchus hoặc DarkGate tương ứng.

Trong mọi trường hợp, kẻ tấn công khai thác sự thiếu cảnh giác của mục tiêu về những rủi ro khi thực thi lệnh PowerShell trên hệ thống của họ và lợi dụng việc Windows không có khả năng phát hiện và ngăn chặn các hành động độc hại do mã dán gây ra.

Các chuỗi tấn công khác nhau cho thấy TA571 đang tiến hành thử nghiệm nhiều phương pháp để tăng tỉ lệ thành công và tìm nhiều cách lây nhiễm hơn nhằm xâm phạm số lượng lớn hơn các hệ thống.

Để bảo vệ mình trước các chiến dịch độc hại như vậy, người dùng luôn phải cảnh giác khi nhận được các email lạ hay thông báo lỗi/thông báo cập nhật đáng ngờ, tuyệt đối KHÔNG nhấp vào liên kết hoặc mở tệp đính kèm từ các nguồn không tin cậy. Người dùng chỉ nên cài đặt các bản cập nhật phần mềm từ nguồn chính thức như trang web của nhà cung cấp hoặc qua tính năng cập nhật tự động của phần mềm.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Những hình ảnh thân thương, bình dị của Tổng Bí thư Nguyễn Phú Trọng

(VnMedia) - VnMedia xin trân trọng gửi đến quý độc giả những hình ảnh vô cùng thân thương, bình dị của Tổng Bí thư Nguyễn Phú Trọng lúc sinh thời.

Tổng Bí thư Nguyễn Phú Trọng từ trần

(VnMedia) - Đồng chí Nguyễn Phú Trọng, sinh năm 1944, Tổng Bí thư Ban Chấp hành Trung ương Đảng Cộng sản Việt Nam, sau thời gian lâm bệnh, mặc dù được Đảng, Nhà nước, tập thể các giáo sư, bác sĩ, chuyên gia y tế đầu ngành… tận tình cứu chữa, gia đình hết lòng chăm sóc, nhưng do tuổi cao, bệnh nặng, đồng chí đã từ trần vào hồi 13 giờ 38 phút ngày 19/7/2024 tại Bệnh viện Trung ương Quân đội 108.

VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí

(VnMedia) - Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.

Giá vàng giảm sâu phiên thứ 3 liên tiếp

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (20/7), giá vàng giao ngay tại thị trường New York đã tiếp tục có thêm một đi xuống. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc 80 triệu đồng/lượng ở chiều bán ra.

Cảnh báo rủi ro an toàn thông tin liên quan đến sản phẩm của CrowdStrike

(VnMedia) - Cục An toàn thông tin (Bộ TT&TT) vừa phát đi cảnh báo cùng hướng dẫn các đơn vị tại Việt Nam 4 bước để khắc phục lỗi ‘màn hình xanh’ xảy ra với máy tính bị ảnh hưởng từ rủi ro an toàn thông tin liên quan đến sản phẩm của CrowdStrike.