Mã độc FileFix ngụy trang dưới dạng thông báo bảo mật Facebook để chiếm đoạt dữ liệu

Một chiến dịch tấn công mạng mới có tên FileFix đang lan truyền với tốc độ chóng mặt, sử dụng chiêu trò giả mạo thông báo bảo mật của Facebook để đánh lừa người dùng Windows tự tay cài đặt mã độc đánh cắp thông tin StealC.

Nguồn ảnh: Techlade – Được tạo bởi ChatGPT.

Theo các chuyên gia, FileFix là một biến thể của kỹ thuật lừa đảo xã hội ClickFix đã xuất hiện từ năm ngoái. Phương thức tấn công này đánh lừa nạn nhân tự thực thi mã độc trên máy tính thông qua các “hướng dẫn khắc phục sự cố” giả mạo. ESET, một nhà cung cấp phần mềm diệt virus hàng đầu, cho biết các cuộc tấn công kiểu này đã tăng đến 517% chỉ trong sáu tháng qua, trở thành phương thức tấn công phổ biến thứ hai, chỉ sau lừa đảo qua email (phishing).

Nếu ClickFix thường yêu cầu nạn nhân giải một bài kiểm tra CAPTCHA giả, thì FileFix lại tinh vi hơn. Nó lừa người dùng sao chép và dán một đoạn lệnh vào thanh địa chỉ của cửa sổ tải tệp hoặc trình duyệt File Explorer. Khi nạn nhân nhấn Enter, mã độc sẽ được kích hoạt ngay lập tức.

Tấn công lây lan toàn cầu

Đơn vị Nghiên cứu Mối đe dọa của Acronis đã phát hiện chiến dịch FileFix vào cuối tháng 8 và khẳng định đây là một trong những ví dụ đầu tiên được ghi nhận của kỹ thuật này. Eliad Kimhy, một nhà nghiên cứu cấp cao của Acronis, cho biết ông đã thấy nhiều mẫu mã độc và trang lừa đảo liên quan xuất hiện từ giữa tháng 8 và nhận định chiến dịch này đang không ngừng phát triển.

Bằng chứng về quy mô toàn cầu của chiến dịch đến từ các tệp mã độc được tải lên VirusTotal từ nhiều quốc gia như Mỹ, Bangladesh, Philippines, Peru, Trung Quốc, Đức… “Khả năng lớn là tin tặc đang tấn công nạn nhân trên khắp thế giới,” Kimhy giải thích, đồng thời cho rằng chính các nạn nhân đã tải lên VirusTotal để kiểm tra.

Mã độc ẩn mình trong… những bức ảnh đẹp

Chiêu thức tấn công bắt đầu bằng một cảnh báo bảo mật Facebook giả mạo, thông báo tài khoản của nạn nhân đã bị báo cáo và sẽ bị khóa trong 7 ngày. Để kháng nghị, nạn nhân được yêu cầu nhấp vào một tệp PDF được cho là từ Facebook. Các hướng dẫn sau đó lừa người dùng mở File Explorer và dán một chuỗi ký tự giả mạo đường dẫn PDF vào đó.

Trên thực tế, tất cả chỉ là một màn kịch được dàn dựng công phu. Cửa sổ “File Explorer” đó thực chất chỉ là một cửa sổ tải tệp được ngụy trang, và “đường dẫn PDF” chính là một đoạn mã độc. Để lừa đảo thêm phần thuyết phục, tin tặc đã chèn rất nhiều khoảng trắng vào trước đoạn mã, khiến người dùng chỉ nhìn thấy một đường dẫn tệp thông thường trên thanh địa chỉ.

Khi đoạn mã được thực thi, nó sẽ tải xuống một tệp hình ảnh (JPG) vào thư mục tạm thời của máy tính. Việc sử dụng tệp ảnh, một định dạng quen thuộc, giúp mã độc dễ dàng qua mặt các phần mềm bảo mật, vì nó trông giống như người dùng vừa lưu một bức ảnh thông thường. Đáng ngạc nhiên, nhóm nghiên cứu Acronis tin rằng những bức ảnh này được tạo ra bằng công nghệ AI, với nhiều hình ảnh khác nhau như ngôi nhà nông thôn hay con ốc sên trên lá cây.

Eliad Kimhy gọi đây là “kỹ thuật lẩn tránh tinh vi” và là dấu hiệu của một nhóm tin tặc chuyên nghiệp. Nhóm nghiên cứu còn phát hiện tin tặc đã chuyển từ việc lưu trữ ảnh trên các tên miền riêng sang sử dụng BitBucket, một nền tảng lưu trữ mã nguồn, giúp chúng lẩn tránh sự phát hiện tốt hơn.

Điều đặc biệt là, những bức ảnh “bình dị” này lại chứa đựng mã kịch bản PowerShell giai đoạn hai cùng một tệp thực thi đã được mã hóa. Bằng cách nhúng mã độc vào hình ảnh, tin tặc có thể thay đổi các tệp được tải xuống sau đó mà không cần phải thay đổi mã độc trên trang lừa đảo ban đầu.

Từ cảnh báo Facebook đến mã độc StealC

Nguồn ảnh: Techlade – Được tạo bởi ChatGPT.

Sau khi tải xuống, mã độc ban đầu sẽ kiểm tra xem nó có đang chạy trong môi trường ảo (VM) hay không để tránh bị các phòng lab an ninh mạng phát hiện. Sau đó, nó sẽ giải mã và nạp phiên bản StealC 2.0 vào bộ nhớ.

StealC là một mã độc đánh cắp thông tin nguy hiểm, có khả năng chiếm đoạt dữ liệu từ hàng loạt ứng dụng phổ biến, bao gồm:

• Trình duyệt web: Chrome, Firefox, Opera…
• Ví tiền điện tử: Hơn 20 loại ví khác nhau.
• Ứng dụng nhắn tin, VPN và cơ sở dữ liệu: Telegram, Discord, OpenVPN, Proton VPN…
• Khóa API: Azure, AWS.

Kimhy nhận định rằng kiểu tấn công “Fix” này đang ngày càng phổ biến và thường kết thúc bằng việc cài đặt các loại mã độc đánh cắp thông tin. Ông cũng nhấn mạnh rằng chiến dịch này đã phát triển từ một ý tưởng lý thuyết thành một cuộc tấn công toàn cầu chỉ trong khoảng 75 ngày, cho thấy sự hiệu quả đáng kinh ngạc. Đây là dấu hiệu dự báo sẽ có thêm nhiều biến thể tấn công tương tự xuất hiện trong tương lai gần.