Một chiến dịch phần mềm độc hại mới nhắm vào nhân viên khách sạn và ngành dịch vụ lưu trú trên khắp châu Âu đang lợi dụng các trang giả mạo Màn hình xanh chết chóc của Windows để cung cấp một trojan truy cập từ xa mạnh mẽ. Cuộc tấn công kết hợp email lừa đảo, kỹ thuật lừa đảo xã hội và các công cụ Windows đáng tin cậy để vượt qua các lớp bảo vệ điểm cuối hiện đại.

Các nhà nghiên cứu cho biết chiến dịch, được theo dõi là PHALT#BLYX, giả mạo các email xác nhận đặt phòng của Booking.com và lừa nạn nhân thực hiện thủ công các lệnh độc hại. Điều làm cho hoạt động này đặc biệt nguy hiểm là sự phụ thuộc vào các kỹ thuật sống nhờ vào tài nguyên sẵn có mà lạm dụng các thành phần hợp pháp của Windows thay vì các bộ tải phần mềm độc hại truyền thống.

Kết quả là sự triển khai lén lút của DCRat, một trojan truy cập từ xa nổi tiếng có khả năng xâm nhập toàn bộ hệ thống.

Các điểm chính

• Các email kiểu giả mạo đặt phòng đang nhắm đến nhân viên khách sạn trên khắp châu Âu.
• Những nạn nhân bị chuyển hướng đến các trang phục hồi giả mạo màn hình xanh chết chóc.
• Người dùng bị lừa thực hiện các lệnh PowerShell độc hại
• Phần mềm độc hại sử dụng MSBuild để tránh bị phát hiện bởi phần mềm diệt virus
• DCRat cho phép điều khiển từ xa hoàn toàn và ăn cắp dữ liệu
• Chiến dịch này đã lạm dụng nghiêm trọng các công cụ Windows đáng tin cậy.

Cách cuộc tấn công qua email giả mạo bắt đầu

Cuộc tấn công bắt đầu bằng một email lừa đảo được thiết kế để trông như một thông điệp chính thức từ Booking.com. Những email này cảnh báo nhân viên khách sạn về việc hủy đặt phòng không mong đợi và thúc giục hành động ngay lập tức.

Các tin nhắn thường bao gồm:

• Chi tiết đặt phòng và phí phòng được liệt kê bằng Euro
• Một cảm giác cấp bách liên quan đến xác nhận hủy bỏ
• Một liên kết có thể nhấp chuột khẳng định sẽ chuyển hướng đến Booking.com

Khi được nhấp, liên kết sẽ gửi nạn nhân đến một trang web lừa đảo giống hệt giao diện của Booking.com.

Đọc thêm:

Hướng Dẫn Gỡ Bỏ và Phát Hiện Phần Mềm Độc Hại Crypto

CAPTCHA giả và Kỹ thuật xã hội Màn hình Xanh

Sau khi hạ cánh trên trang Booking giả mạo, các nạn nhân được yêu cầu hoàn thành một thách thức CAPTCHA giả. Bước này được thiết kế để giảm nghi ngờ và xây dựng lòng tin trước khi gửi tải trọng cuối cùng.

Sau khi hoàn thành CAPTCHA, người dùng sẽ được chuyển hướng đến một trang giả mạo Màn hình xanh chết chóc của Windows. Trang này cho biết hệ thống đã gặp phải một lỗi nghiêm trọng và cung cấp hướng dẫn khôi phục từng bước.

Những hướng dẫn này cho người dùng biết:

• Nhấn tổ hợp phím Windows + R để mở hộp thoại Chạy trên Windows
• Dán một lệnh được hiển thị trên màn hình.
• Nhấn Enter để khắc phục sự cố

Trên thực tế, lệnh này khởi động một kịch bản PowerShell độc hại.

Giải thích về Lạm dụng PowerShell và MSBuild

Khi được thực thi, lệnh PowerShell bắt đầu một quy trình lây nhiễm nhiều giai đoạn. Kịch bản tải xuống một tệp dự án MSBuild được chế tạo đặc biệt từ một máy chủ từ xa và thực thi nó bằng cách sử dụng MSBuild.exe, một công cụ phát triển hợp pháp của Microsoft.

Kỹ thuật này đặc biệt nguy hiểm vì MSBuild là một tệp nhị phân Windows đáng tin cậy thường bỏ qua các cảnh báo bảo mật.

Tệp dự án MSBuild thực hiện một số hành động:

• Tải xuống payload DCRat
• Thêm loại trừ Microsoft Defender
• Thiết lập sự bền vững thông qua thư mục Khởi động
• Khởi động phần mềm độc hại một cách im lặng

Nếu phần mềm độc hại chạy với quyền quản trị, nó có thể hoàn toàn vô hiệu hóa Windows Defender.

Chiến thuật Bỏ qua UAC Tấn công và Mệt mỏi Người dùng

Nếu quyền quản trị viên không có sẵn, phần mềm độc hại không ngay lập tức thất bại. Thay vào đó, nó liên tục kích hoạt các thông báo Kiểm soát Tài khoản Người dùng của Windows.

Mục tiêu là khai thác sự mệt mỏi của người dùng. Bằng cách hiển thị các yêu cầu cấp phép lặp đi lặp lại mỗi vài giây, những kẻ tấn công hy vọng rằng các nạn nhân cuối cùng sẽ chấp thuận yêu cầu đó vì sự bực bội.

Tactics này chỉ ra rằng kỹ thuật xã hội vẫn là một trong những điểm yếu nhất trong bảo mật điểm cuối.

Kỹ Thuật Phân Tâm Để Tránh Bị Nghi Ngờ

Để giảm thiểu sự nghi ngờ, script PowerShell mở trang quản trị thực của Booking.com trong trình duyệt mặc định sau khi thực hiện.

Điều này tạo ra ảo giác rằng hành động của người dùng là hợp lệ và liên quan đến nhiệm vụ ban đầu của họ. Trong khi đó, việc cài đặt phần mềm độc hại vẫn tiếp tục trong nền mà không có dấu hiệu rõ rệt.

Sự kết hợp giữa deception và distraction này tăng đáng kể tỷ lệ thành công của cuộc tấn công.

Đọc thêm:Malware so với Virus: Những điều quan trọng cần tìm hiểu

DCRat là gì và tại sao nó lại nguy hiểm

DCRat, hay còn được gọi là DCRat Remote Access Trojan, là một loại phần mềm độc hại thuộc dạng trojan được thiết kế để xâm nhập và kiểm soát máy tính từ xa. Nó có thể thực hiện nhiều hành động khác nhau trên hệ thống nạn nhân, từ việc đánh cắp thông tin cá nhân đến việc giám sát hoạt động trực tuyến của họ.

Về lý do tại sao DCRat lại nguy hiểm, có một số lý do chính:

• Đánh cắp thông tin: DCRat có khả năng thu thập thông tin nhạy cảm như mật khẩu, thông tin tài khoản ngân hàng và dữ liệu cá nhân khác.
• Tình trạng giám sát: Nó có thể theo dõi hoạt động của người dùng, ghi lại các cuộc gọi và cuộc trò chuyện trực tuyến.
• Kiểm soát từ xa: Kẻ tấn công có thể điều khiển máy tính của nạn nhân, thực hiện các thao tác mà nạn nhân không hề hay biết.
• Khó phát hiện: DCRat thường được nguỵ trang dưới dạng các phần mềm hợp pháp, làm cho việc phát hiện và loại bỏ trở nên khó khăn hơn.

Để bảo vệ bản thân khỏi DCRat và các phần mềm độc hại khác, người dùng nên thường xuyên cập nhật phần mềm, sử dụng phần mềm diệt virus và cẩn thận khi mở các tệp đính kèm từ email không rõ nguồn gốc.

DCRat, hay còn được biết đến với tên gọi DarkCrystal RAT, là một trojan truy cập từ xa dựa trên .NET được sử dụng rộng rãi và là một biến thể của AsyncRAT. Nó được bán như một bộ công cụ malware có sẵn và hỗ trợ kiến trúc dựa trên plugin.

Khi được cài đặt, DCRat có thể:

• Ghi lại các phím bấm
• Lấy cắp thông tin xác thực và dữ liệu nhạy cảm
• Thực thi các lệnh tùy ý
• Tải xuống các payload malware bổ sung
• Cài đặt máy đào tiền điện tử
• Duy trì quyền truy cập liên tục

Phần mềm độc hại kết nối lại với máy chủ điều khiển và chờ đợi hướng dẫn, cho phép kẻ tấn công có quyền truy cập lâu dài vào các hệ thống bị xâm nhập.

Kỹ Thuật Sống Dựa Vào Tài Nguyên Tự Nhiên Trong Malware Hiện Đại

Chiến dịch này là một ví dụ điển hình về các kỹ thuật sống nhờ vào tài nguyên sẵn có. Thay vì phát tán các tệp nhạc độc hại rõ ràng, những kẻ tấn công lạm dụng các công cụ hệ thống đáng tin cậy đã có sẵn trên các máy tính Windows.

Các thành phần bị lạm dụng chính bao gồm:

• PowerShell cho thực thi ban đầu
• MSBuild.exe để chuyển giao dữ liệu
• Thư mục khởi động để duy trì tính bền vững
• Các loại trừ của Windows Defender để tránh bị phát hiện

Bằng cách sử dụng những công cụ này, kẻ tấn công giảm thiểu dấu vết của họ và làm cho việc phát hiện trở nên khó khăn hơn rất nhiều.

Tại sao Ngành Khách Sạn lại Bị Nhắm Đến

Các nhà nghiên cứu lưu ý rằng các email lừa đảo nổi bật có giá cả bằng Euro, cho thấy rõ ràng sự tập trung vào các tổ chức châu Âu.

Các khách sạn và doanh nghiệp dịch vụ lưu trú đặc biệt là mục tiêu hấp dẫn vì:

• Nhân viên thường xuyên xử lý các liên lạc từ Booking.com
• Hệ thống lễ tân thường có quyền truy cập rộng.
• Khẩn cấp trong vận hành làm tăng tỷ lệ nhấp chuột
• Đào tạo an ninh mạng thường không nhất quán

Những yếu tố này khiến nhân viên khách sạn trở thành những mục tiêu lý tưởng cho các cuộc tấn công kỹ thuật xã hội.

Các chỉ báo về sự tham gia của các tác nhân đe dọa từ Nga

Phân tích tệp dự án MSBuild đã phát hiện các dấu vết ngôn ngữ Nga trong mã. Kết hợp với việc sử dụng DCRat, thường liên quan đến các tội phạm mạng nói tiếng Nga, các nhà nghiên cứu tin rằng chiến dịch này có thể liên quan đến các tác nhân mối đe dọa Nga.

Trong khi sự phân bổ vẫn còn thận trọng, các chỉ báo kỹ thuật phù hợp với các mẫu sử dụng DCRat đã được biết đến.

Các Biện Pháp Phòng Ngừa Các Tổ Chức Nên Thực Hiện

Các tổ chức trong ngành khách sạn nên xem chiến dịch này như một dấu hiệu cảnh báo.

Các bước phòng thủ chính bao gồm:

• Chặn thực thi PowerShell cho người dùng không phải quản trị viên
• Giám sát việc sử dụng MSBuild.exe ngoài các môi trường phát triển
• Thực thi danh sách trắng ứng dụng nghiêm ngặt
• Đào tạo nhân viên không bao giờ chạy lệnh từ các trang web.

• Triển khai bộ lọc email chống lừa đảo

Người dùng vẫn cần nhận thức rõ ràng, vì cuộc tấn công phụ thuộc rất nhiều vào việc thực hiện thủ công.

Những Suy Nghĩ Cuối Cùng

Chiến dịch phần mềm độc hại giả mạo Màn hình xanh chết chóc cho thấy cách mà tội phạm mạng kết hợp giữa việc thao túng tâm lý với kiến thức kỹ thuật sâu sắc về hệ thống Windows. Bằng cách lạm dụng các công cụ đáng tin cậy và thuyết phục người dùng thực hiện các lệnh bằng chính tay họ, kẻ tấn công đang vượt qua các biện pháp bảo mật truyền thống với sự thành công đáng báo động.

Đối với các khách sạn và doanh nghiệp dịch vụ phụ thuộc nhiều vào các nền tảng bên thứ ba như Booking.com, cuộc tấn công này làm nổi bật nhu cầu cấp bách về cả biện pháp bảo vệ kỹ thuật và đào tạo nhân viên. Ranh giới giữa việc khắc phục sự cố hợp pháp và hướng dẫn độc hại đang ngày càng mờ nhạt.

Đọc thêm:Lumma Malware là gì? Nó cũng đánh cắp ví tiền điện tử.

Câu hỏi thường gặp

Một cuộc tấn công giả mạo Màn hình xanh tử thần (Blue Screen of Death - BSOD) là gì?

Đây là một chiến thuật kỹ thuật xã hội, trong đó các kẻ tấn công hiển thị một màn hình lỗi Windows giả để lừa người dùng thực hiện các lệnh độc hại.

Tại sao các khách sạn lại bị nhắm đến trong chiến dịch này?

Các khách sạn thường xuyên sử dụng Booking.com và xử lý các vấn đề đặt phòng khẩn cấp, khiến nhân viên dễ tin tưởng vào các email lừa đảo hơn.

Phần mềm độc hại nào được phát tán trong cuộc tấn công này?

Cuộc tấn công cài đặt DCRat, một trojan truy cập từ xa có khả năng chiếm đoạt hoàn toàn hệ thống.

Malware sử dụng nhiều kỹ thuật khác nhau để tránh bị phát hiện bởi phần mềm diệt virus. Dưới đây là một số phương pháp phổ biến: 1. **Mã hóa**: Malware có thể mã hóa dữ liệu của nó để ngăn các phần mềm diệt virus nhận diện. 2. **Biến đổi**: Một số loại malware có khả năng tự biến đổi, thay đổi mã nguồn của chúng mỗi khi chúng lây nhiễm tới một máy tính mới, làm cho chúng trở nên khó nhận diện hơn. 3. **Sử dụng kỹ thuật giả mạo**: Malware có thể giả mạo thành các tệp hợp lệ hoặc sử dụng các tên tệp mà phần mềm diệt virus không nghi ngờ. 4. **Chạy trong bộ nhớ**: Một số malware sẽ chạy hoàn toàn trong RAM và không bao giờ ghi lại trên đĩa cứng, giúp chúng tránh được sự quét của phần mềm diệt virus. 5. **Kỹ thuật ẩn**: Malware có thể sử dụng các phương pháp ẩn để che giấu sự hiện diện của chúng, như sử dụng các tệp ẩn hoặc các bệnh viện liên kết động. 6. **Tấn công zero-day**: Những loại tấn công này khai thác các lỗ hổng mà phần mềm diệt virus chưa được cập nhật để phát hiện. Các kỹ thuật này cho thấy malware ngày càng phát triển và tinh vi hơn, làm cho việc phát hiện và ngăn chặn chúng trở thành một thách thức lớn cho các nhà bảo mật.

Nó lợi dụng các công cụ Windows đáng tin cậy như PowerShell và MSBuild và thay đổi các loại trừ của Defender.

Làm thế nào các tổ chức có thể bảo vệ chống lại cuộc tấn công này?

Hạn chế việc sử dụng PowerShell, theo dõi hoạt động của MSBuild và đào tạo nhân viên để tránh thực thi các lệnh từ website là những biện pháp phòng thủ chính.