Các nhà nghiên cứu của Elastic Security Labs đã phát hiện "một họ phần mềm độc hại mới" khai thác Microsoft Outlook. Phần mềm độc hại có tên FinalDraft được kết hợp với một số công cụ hack khác trong một cuộc tấn công mạng tinh vi. Cuộc tấn công này đòi hỏi "một trình tải, một cửa hậu và một số mô-đun phụ cho phép các hoạt động khai thác nâng cao sau đó." Với cách thức hoạt động và các công cụ được sử dụng, các nhà nghiên cứu tin rằng "những kẻ phát triển được tổ chức tốt" và tập trung vào hoạt động gián điệp.
Đầu tiên, tội phạm mạng phải tìm cách thuyết phục mục tiêu cài đặt PathLoader, một chương trình phần mềm độc hại khác được thiết kế để lây nhiễm vào máy tính Windows. Virus này hoạt động bằng cách tải xuống và thực thi mã từ máy chủ từ xa.
Trong mã độc này có phần mềm độc hại FinalDraft. Khi được sử dụng kết hợp với PathLoader, loại vi-rút này có khả năng xâm nhập vào hệ thống. PathLoader dựa vào vô số chiến thuật tiên tiến để tránh bị phần mềm diệt vi-rút phát hiện.
Sau khi triển khai, vi-rút sẽ tạo một mã định danh duy nhất cho phiên hiện tại, cho phép theo dõi hoạt động của phiên đó một cách chính xác. Sau đó, nó tận dụng Microsoft Graph, một giao diện cho phép tương tác với các dịch vụ của Microsoft, để kiểm soát Outlook. Khai thác Graph liên quan đến việc lấy mã thông báo OAuth, giao thức cho phép các ứng dụng truy cập vào các tài nguyên được bảo vệ mà không cần phải yêu cầu người dùng nhập mật khẩu. Đây không phải là lần đầu tiên tội phạm mạng sử dụng giao thức này như một phần trong các cuộc tấn công mạng vào Windows.
Thông qua giao diện này, chúng sẽ có thể tạo bản nháp trong email Outlook. Những bản nháp này sẽ được sử dụng để giao tiếp với máy chủ từ xa. Bằng cách sử dụng bản nháp thay vì email, FinalDraft một lần nữa có thể trốn tránh cơ chế bảo vệ của Windows.
Như bạn có thể đã hiểu, Outlook được sử dụng như một kênh liên lạc giữa tin tặc và vi-rút. Các lệnh của kẻ tấn công được đặt trong các email nháp có tên là "r_", trong khi các phản hồi được lưu trữ trong các bản nháp mới có tên là "p_". Sau khi thực hiện lệnh, các lệnh nháp sẽ bị xóa, gây cản trở cho phần mềm diệt vi-rút. Đây là lý do tại sao Elastic Security Labs tin rằng FinalDraft "ẩn trong bản nháp của bạn".
Theo lệnh của tin tặc, nó sẽ đánh cắp và gửi thông tin nhạy cảm từ máy tính đến máy chủ từ xa. Phần mềm độc hại này chủ yếu nhắm vào các tệp được lưu trữ trên PC, thông tin đăng nhập và thông tin hệ thống. Báo cáo nêu rõ thông tin này bao gồm "tên máy tính, tên người dùng tài khoản, địa chỉ IP nội bộ và bên ngoài, cũng như thông tin chi tiết về các tiến trình đang chạy". Đây chính là nơi bẫy đóng lại mà chủ sở hữu máy tính không hề hay biết. Theo Elastic Security Labs, loại vi-rút này hỗ trợ khoảng ba mươi lệnh, bao gồm cả việc đánh cắp dữ liệu và xóa tệp.
Theo báo cáo của các nhà nghiên cứu giải thích, có một biến thể của FinalDraft tấn công các máy tính chạy Linux. Theo cuộc điều tra của các chuyên gia, loại virus này đang bị khai thác tích cực như một phần của chiến dịch gián điệp, ảnh hưởng đến nhiều mục tiêu, trong đó có một bộ ngoại giao Nam Mỹ và các thực thể có trụ sở tại Đông Nam Á. Trong một số cuộc tấn công, tin tặc đã khai thác lỗ hổng trong các nhà khai thác viễn thông và nhà cung cấp cơ sở hạ tầng internet.
Nguồn: Elastic Security Labs
Đầu tiên, tội phạm mạng phải tìm cách thuyết phục mục tiêu cài đặt PathLoader, một chương trình phần mềm độc hại khác được thiết kế để lây nhiễm vào máy tính Windows. Virus này hoạt động bằng cách tải xuống và thực thi mã từ máy chủ từ xa.
Trong mã độc này có phần mềm độc hại FinalDraft. Khi được sử dụng kết hợp với PathLoader, loại vi-rút này có khả năng xâm nhập vào hệ thống. PathLoader dựa vào vô số chiến thuật tiên tiến để tránh bị phần mềm diệt vi-rút phát hiện.
Khi Microsoft Outlook đóng vai trò là địa chỉ email cho phần mềm độc hại
Sau khi triển khai, vi-rút sẽ tạo một mã định danh duy nhất cho phiên hiện tại, cho phép theo dõi hoạt động của phiên đó một cách chính xác. Sau đó, nó tận dụng Microsoft Graph, một giao diện cho phép tương tác với các dịch vụ của Microsoft, để kiểm soát Outlook. Khai thác Graph liên quan đến việc lấy mã thông báo OAuth, giao thức cho phép các ứng dụng truy cập vào các tài nguyên được bảo vệ mà không cần phải yêu cầu người dùng nhập mật khẩu. Đây không phải là lần đầu tiên tội phạm mạng sử dụng giao thức này như một phần trong các cuộc tấn công mạng vào Windows.
Thông qua giao diện này, chúng sẽ có thể tạo bản nháp trong email Outlook. Những bản nháp này sẽ được sử dụng để giao tiếp với máy chủ từ xa. Bằng cách sử dụng bản nháp thay vì email, FinalDraft một lần nữa có thể trốn tránh cơ chế bảo vệ của Windows.
Như bạn có thể đã hiểu, Outlook được sử dụng như một kênh liên lạc giữa tin tặc và vi-rút. Các lệnh của kẻ tấn công được đặt trong các email nháp có tên là "r_", trong khi các phản hồi được lưu trữ trong các bản nháp mới có tên là "p_". Sau khi thực hiện lệnh, các lệnh nháp sẽ bị xóa, gây cản trở cho phần mềm diệt vi-rút. Đây là lý do tại sao Elastic Security Labs tin rằng FinalDraft "ẩn trong bản nháp của bạn".
Trộm cắp dữ liệu và tệp
Theo lệnh của tin tặc, nó sẽ đánh cắp và gửi thông tin nhạy cảm từ máy tính đến máy chủ từ xa. Phần mềm độc hại này chủ yếu nhắm vào các tệp được lưu trữ trên PC, thông tin đăng nhập và thông tin hệ thống. Báo cáo nêu rõ thông tin này bao gồm "tên máy tính, tên người dùng tài khoản, địa chỉ IP nội bộ và bên ngoài, cũng như thông tin chi tiết về các tiến trình đang chạy". Đây chính là nơi bẫy đóng lại mà chủ sở hữu máy tính không hề hay biết. Theo Elastic Security Labs, loại vi-rút này hỗ trợ khoảng ba mươi lệnh, bao gồm cả việc đánh cắp dữ liệu và xóa tệp.
Theo báo cáo của các nhà nghiên cứu giải thích, có một biến thể của FinalDraft tấn công các máy tính chạy Linux. Theo cuộc điều tra của các chuyên gia, loại virus này đang bị khai thác tích cực như một phần của chiến dịch gián điệp, ảnh hưởng đến nhiều mục tiêu, trong đó có một bộ ngoại giao Nam Mỹ và các thực thể có trụ sở tại Đông Nam Á. Trong một số cuộc tấn công, tin tặc đã khai thác lỗ hổng trong các nhà khai thác viễn thông và nhà cung cấp cơ sở hạ tầng internet.
Nguồn: Elastic Security Labs
