Các nhà nghiên cứu gần đây đã phát hiện ra một chiến dịch lừa đảo mới phân phối phần mềm độc hại có tên TrickBot tới người dùng. Hacker đang tăng cường phát tán malware trên diện rộng bằng cách né tránh kiểm tra bảo mật của các cổng email an toàn bằng cách khai thác Google Docs.
Chiến dịch lừa đảo phân phối malware TrickBot
Các nhà nghiên cứu từ Cofense đã phát hiện ra một chiến dịch lừa đảo mới vô cùng nguy hiểm – chiến dịch phân phối malware TrickBot. Các email lừa đảo được sử dụng để vượt qua cổng email (email gateway) hoặc các kiểm tra bảo mật (security check) khi khai thác các đường link Google Docs hợp pháp.
Như đã nêu trong bài đăng trên blog của mình, các nhà nghiên cứu cho biết giống như bất kỳ cuộc tấn công lừa đảo nào khác, chiến dịch sẽ bắt đầu khi một email độc hại được gửi tới người dùng.
Phần thân email này sẽ chứa một URL được nhúng phía sau nút ‘Open in Docs’ (Mở bằng Google Docs). Để thu hút người dùng nhấp vào nút này, nội dung email sẽ thường gợi nhớ tới một tài liệu đã được gửi trước đó.
Khi người dùng nhấp vào nút này (để mở tài liệu giả định) thì ngay lập tức sẽ được chuyển hướng đến một liên kết hiển thị lỗi 404 giả. Lỗi này sau đó sẽ lừa người dùng nhấp vào liên kết khác để tải xuống tài liệu.
Trên thực tế, đó là một liên kết độc hại mà khi người dùng nhấp vào sẽ ngay lập tức tải xuống malware về thiết bị đích. Tuy nhiên, nạn nhân rất khó xác định phần mềm độc hại này vì bề ngoài nó được thiết kế giống như một tệp PDF thông thường.
Tuy nhiên, nếu người dùng đã kích hoạt xem các phần mở rộng tập tin trên thiết bị, họ có thể phát hiện ra phần mở rộng ‘.exe’ có trong bản PDF này.
Thực thi malware
Sau khi người dùng tải xuống tệp độc hại được ngụy trang dưới dạng PDF, payload sẽ nhanh chóng được thực thi. Sau đó, nó sẽ sao chép chính nó trong thư mục “C: \ ProgramData”để thực thi phần mềm độc hại. Ngoài ra, nó cũng tạo một bản sao trong tại địa chỉ “C: \ Users \ REM \ AppData \ Roaming \ speedLan”, nơi có sự hiện diện của tệp cấu hình TrickBot.
Ngoài ra, malware cũng đảm bảo các hoạt động lặp lại cứ sau 11 phút trong 414 ngày bằng cách thiết lập một tác vụ trong Trình lập lịch tác vụ (Task Scheduler).
Về hành động này, các nhà nghiên cứu cho biết “Tác vụ theo lịch trình sẽ kiểm tra xem nhị phân (binary) có chạy trong bộ nhớ cứ sau 11 phút trong khoảng thời gian 1 năm hay không. Điều này có nghĩa là nhị phân sẽ tồn tại trên hệ thống nếu quá trình kết thúc.”
Sau đó, nó tiếp tục thực hiện nhiều lần với Svchost – tiến trình chính chịu trách nhiệm cho các mô-đun TrickBot khác nhau. Chiến dịch lừa đảo này chỉ đơn giản là thêm vào số lần xuất hiện của TrickBot. Hồi tháng 7, malware này cũng đã từng thu hút sự chú ý khi nổi lên với các chiến dịch nhắm mục tiêu vào người dùng thông qua các trang web Office 365 giả mạo.
