Phát hiện kĩ thuật hack mới qua mặt kiểm soát bảo mật từ mã độc TrickBot

Những tên tội phạm mạng đằng sau phần mềm độc hại khét tiếng TrickBot một lần nữa nâng cấp ante bằng cách tinh chỉnh kỹ thuật của phần mềm này thông qua việc bổ sung nhiều lớp phòng thủ để qua mặt các sản phẩm chống phần mềm độc hại trước đây.

TrickBot, ban đầu là một banking trojan, đã phát triển thành hạ tầng dịch vụ tội phạm (CaaS) đa dụng. CaaS này đã được nhiều tác nhân triển khai để phát tán các payload bổ sung, ví dụ như ransomware. Đến nay, đã xác định được hơn 100 biến thể của TrickBot, một trong số đó là mô-đun Trickboot có thể sửa đổi phần mềm điều khiển UEFI của thiết bị bị lây nhiễm.

Vào mùa thu năm 2020, Microsoft cùng với một số cơ quan chính phủ Hoa Kỳ và các công ty bảo mật tư nhân đã hợp tác để phá vỡ mạng botnet TrickBot, đánh sập phần lớn cơ sở hạ tầng của mạng này trên toàn thế giới nhằm ngăn chặn các hoạt động lây nhiễm.

Tuy nhiên, TrickBot đã cho thấy mọi cố gắng là vô nghĩa, vì kẻ tấn công nhanh chóng điều chỉnh kỹ thuật của mình để phát tán các phần mềm độc hại nhiều giai đoạn thông qua các cuộc tấn công phishing và malspam, kể cả mở rộng kênh phát tán bằng cách hợp tác với các băng nhóm tội phạm mạng khác như Shathak (hay còn gọi là TA551) để tăng quy mô và lợi nhuận.

Mới đây, các chiến dịch phần mềm độc hại liên quan đến Emotet mở đường cho TrickBot với vai trò là “dịch vụ phát tán”, kích hoạt một chuỗi lây nhiễm thả công cụ hậu khai thác Cobalt Strike trực tiếp vào hệ thống bị xâm phạm. Tính đến tháng 12 năm 2021, ước tính có khoảng 140.000 nạn nhân tại 149 quốc gia đã bị TrickBot lây nhiễm.

Các bản cập nhật mới được IBM Trusteer quan sát liên quan đến việc sử dụng các mã độc web theo thời gian thực để đánh cắp thông tin xác thực ngân hàng và cookie của trình duyệt. Điều này được tiến hành bằng cách đưa nạn nhân đến các tên miền giả đồng thời cố gắng điều hướng đến cổng ngân hàng như một phần của cuộc tấn công được gọi là man-in-the-browser (MitB).

Ngoài ra, bọn chúng cũng sử dụng cơ chế lây nhiễm phía máy chủ để chặn bắt phản hồi từ máy chủ của ngân hàng và chuyển hướng máy chủ này đến một máy chủ do kẻ tấn công kiểm soát, từ đó, lần lượt chèn thêm mã vào trang web trước khi trang này được chuyển tiếp trở lại máy khách.

Michael Gal, nhà nghiên cứu web bảo mật tại IBM cho biết: “Để tạo điều kiện cho việc tìm đúng mã độc vào thời điểm thích hợp, phần mềm độc hại TrickBot thường sử dụng trình tải xuống hoặc trình tải JavaScript (JS) để giao tiếp với máy chủ xâm nhập.”

Các tuyến phòng thủ khác đã chấp nhận phiên bản mới nhất của TrickBot cho thấy việc sử dụng thông tin liên lạc HTTPS được mã hóa với máy chủ lệnh và kiểm soát (C2) để lấy mã độc, một cơ chế chống sửa lỗi để cản trở phân tích; và những cách mới để làm xáo trộn và ẩn mã độc web, bao gồm bổ sung mã dự phòng và kết hợp hệ thập lục phân để khởi tạo các biến.

Cụ thể, khi phát hiện bất kỳ nỗ lực sửa đổi tập lệnh được chèn vào nào, tính năng chống gỡ lỗi của TrickBot sẽ kích hoạt tình trạng quá tải bộ nhớ có thể làm sập trang, ngăn chặn hiệu quả mọi hoạt động kiểm tra phần mềm độc hại.

Gal cho biết: “Trojan TrickBot và những kẻ tấn công bằng phần mềm này đã trở thành tội phạm mạng chủ lực kể từ khi tiếp nối Dyre, một phần mềm độc hại đã bị đánh sập vào năm 2016. TrickBot tấn công không ngừng. Trước các nỗ lực gỡ bỏ và đại dịch toàn cầu, phần mềm này đã và đang đa dạng hóa mô hình kiếm tiền của mình và ngày càng phát triển mạnh mẽ.

Theo The Hacker News