Mã độc tải về Marap trong chiến dịch thư rác lừa đảo liên quan đến mạng botnet Necurs

16:10 | 24/09/2018

Các nhà nghiên cứu vừa phát hiện mối liên hệ giữa một loại mã độc tải về (downloader malware) mới có tên Marap và mạng botnet Necurs, sau khi theo dõi mã độc này trong chiến dịch tấn công thư rác lừa đảo (phishing) quy mô lớn vào tháng 8/2018, chủ yếu nhắm vào các tổ chức kinh tế.

Marap có thể tải thêm các môđun và dữ liệu để cung cấp cho tin tặc đa dạng các khả năng tấn công. Các nhà nghiên cứu thuộc công ty an ninh mạng Proofpoint (có trụ sở chính tại Mỹ) đã quan sát thấy mã độc Marap cung cấp một môđun xác định hệ thống của thiết bị (system fingerprinting), sử dụng để do thám nạn nhân. Công cụ này là một tệp thư viện liên kết động (DLL) được lập trình bằng ngôn ngữ C; có chức năng biên dịch các thông tin như tên người dùng, tên miền, tên máy chủ, địa chỉ IP, ngôn ngữ, quốc gia, phiên bản hệ điều hành Windows, các tệp tin .ost của Microsoft Outlook, các phần mềm diệt virus và gửi những thông tin này tới máy chủ C&C của tin tặc.

Theo Proofpoint, hình thức hoạt động của chiến dịch thư rác lừa đảo có chứa mã độc Marap khá giống với các chiến dịch thư rác khác trước đó, có liên quan đến hành vi TA505 – hay còn gọi là botnet Necurs. Báo cáo cho biết, các thư điện tử rác sử dụng nhiều loại tệp tin đính kèm độc hại khác nhau, bao gồm các tệp Excel Web Query (.iqy), các tệp nén ZIP bảo vệ bằng mật khẩu có chứa các tệp .iqy, các văn bản PDF có nhúng tệp .iqy và các văn bản Microsoft Word với macro tự động.

Vào tháng 6/2018, các nhà nghiên cứu thuộc công ty an ninh mạng Barkly có trụ sở tại Boston đã cho biết, những tin tặc sử dụng thư rác chuyên nghiệp, bao gồm tin tặc đứng sau Necurs, đang ngày càng phụ thuộc vào các tệp tin .iqy. Các tệp này thường được dùng để tải dữ liệu trên Internet trực tiếp vào tệp tin Excel, nhằm thực hiện một chuỗi các hoạt động tải về độc hại.

Các nhà nghiên cứu của Proofpoint liệt kê 5 ví dụ thư rác khác nhau mà họ quan sát được trong chiến dịch mã độc Marap. Hầu hết đều có phần chủ đề và nội dung đơn giản, gây sự chú ý và thường kết hợp với các chữ cái, chữ số ngẫu nhiên. Có thư mang dòng chủ đề “YÊU CẦU” và các chữ cái được sắp xếp ngẫu nhiên, bao gồm một văn bản .iqy đính kèm, mạo danh văn bản đề nghị mời thầu (Request For Proposal). Một thư rác khác cũng chứa tệp .iqy, được miêu tả là “TÀI LIỆU QUAN TRỌNG” ở dòng chủ đề, mạo danh quảng cáo cho các sản phẩm và dịch vụ của một ngân hàng thật ở Mỹ. Các thư rác khác sử dụng tên giả với các tên miền thư điện tử ngẫu nhiên, dụ dỗ nạn nhân mở tệp tin độc hại dưới hình thức những văn bản PDF, tệp hình ảnh hoặc hóa đơn.

Mã độc Marap được viết bằng ngôn ngữ C và đặt tên dựa trên cách đọc ngược từ phải sang trái của “param”, tín hiệu mà nó gửi cho máy chủ C&C. Theo Proofpoint, mã độc này giao tiếp với hệ thống C&C thông qua giao thức HTTP. Đầu tiên, mã độc này sẽ thử một vài chức năng hợp lệ của WinHTTP (giao diện cấp cao cho giao thức HTTP/1.1 có máy chủ hỗ trợ mà Microsoft cung cấp cho nhà phát triển) để xem liệu có cần sử dụng proxy hay không và nếu cần sẽ chọn proxy nào.

Mã độc Marap cũng sử dụng một số kỹ thuật như chống phân tích, chống gỡ lỗi (debug) và chống sandbox, bao gồm API hashing (dùng hàm băm cho giao diện lập trình ứng dụng API), kiểm tra thời gian khi bắt đầu các chức năng quan trọng, làm rối các xâu và so sánh các địa chỉ MAC của hệ thống bị lây nhiễm với các nhà cung cấp máy ảo.

Báo cáo của Proofpoint cũng cho biết, do các cơ chế bảo vệ trở nên tiến bộ hơn để bắt kịp các xu hướng mã độc, nên những kẻ tấn công, phát triển mã độc sẽ tiếp tục khám phá các phương pháp mới để tăng hiệu quả, hạn chế để lại dấu vết và “ồn ào” cho các mã độc. Mã độc Marap và một mã độc khác tương tự đã chỉ ra một xu hướng mới đang phát triển của hình thức mã độc nhỏ gọn, đa năng, mang lại cho tin tặc tính linh hoạt khi thực hiện các cuộc tấn công trong tương lai và phát hiện các hệ thống mục tiêu giúp chúng gây ra nhiều thiệt hại hơn.