Xuất hiện mã độc mới dùng Google Drive làm máy chủ C&C

09:46 | 24/01/2019
ĐT

Các nhà nghiên cứu của hãng bảo mật Palo Alto (trụ sở chính tại Mỹ) vừa phát hiện ra một chiến dịch tấn công sử dụng Google Drive làm máy chủ C&C.

Chiến dịch tấn công này có liên quan tới nhóm tin tặc DarkHydrus. Đây là nhóm tin tặc chuyên thực hiện các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT), lợi dụng công cụ mã nguồn mở Phishery để thu thập thông tin chống lại các tổ chức chính phủ và giáo dục tại Trung Đông vào tháng 8/2018.

Vì đa số các công cụ bảo mật hoạt động bằng cách theo dõi lưu lượng mạng để phát hiện các địa chỉ IP độc hại, nên tin tặc đang hướng tới việc lợi dụng cơ sở hạ tầng của các dịch vụ hợp pháp trong các cuộc tấn công mạng. Trong chiến dịch tấn công này, tin tặc sử dụng một biến thể mới có tên Trojan RogueRobin để lây nhiễm vào máy tính của nạn nhân, bằng cách lừa người dùng mở một tệp tin Microsoft Excel đã nhúng macro VBA (Visual Basic for Applications) độc hại. Khi người dùng kích hoạt macro, một tệp văn bản .txt độc hại sẽ được lưu trong thư mục tạm thời và lợi dụng ứng dụng personas.exe để tự khởi chạy. Cuối cùng, Trojan RogueRobin được cài đặt vào máy tính của nạn nhân.

Trojan RogueRobin bao gồm nhiều chức năng như: ẩn mình; phát hiện sandbox; kiểm tra môi trường ảo hóa, bộ nhớ, số lượng bộ xử lý; phát hiện các công cụ phân tích phổ biến được chạy trên hệ thống; phát hiện anti-debug....

Giống phiên bản gốc, biến thể mới của RogueRobin cũng sử dụng DNS tunneling - một kỹ thuật gửi hoặc truy xuất dữ liệu và lệnh thông qua các gói truy vấn DNS để giao tiếp với máy chủ C&C. Ngoài ra, mã độc này còn đặt API Google Drive là kênh thay thế để gửi dữ liệu và nhận lệnh từ tin tặc.

Các chuyên gia nhận định, chiến dịch này cho thấy các nhóm tin tặc đang chuyển hướng nhiều hơn sang việc lợi dụng các dịch vụ hợp pháp làm cơ sở hạ tầng C&C một cách tinh vi để tránh bị phát hiện.

Cách tốt nhất để bảo vệ người dùng khỏi các cuộc tấn công này là luôn cảnh giác trước bất kỳ tài liệu lạ, chưa rõ nguồn gốc được gửi qua email. Đồng thời, không truy cập vào các liên kết trong tài liệu khi chưa xác minh được nguồn gửi.