Table of Contents
Tựa game Black Myth: Wukong đang rất hót trên toàn thế giới, cũng chính vì vậy mà nhu cầu tải về rất lớn. Tuy nhiên lợi dụng yếu tố những bản Crack fake xuất hiện ngày càng nhiều có chủ đích yêu cầu người dùng tải về và từ đó sẽ chiếm quyền điều kiển máy người dùng.
Đằng sau CAPTCHA: Một cổng thông minh của mã độc
Tác giả của Yashvi Shah và Aayush Tyagi
Tóm tắt nội dung
McAfee Labs gần đây đã quan sát thấy một chuỗi lây nhiễm trong đó các trang CAPTCHA giả mạo đang được sử dụng để phân phối mã , cụ thể là Lumma Stealer. Chúng tôi đang quan sát một chiến dịch nhắm mục tiêu vào nhiều quốc gia. Dưới đây là bản đồ hiển thị vị trí địa lý của các thiết bị truy cập URL CAPTCHA giả mạo, làm nổi bật sự phân phối toàn cầu của cuộc tấn công.
 |
| Hình 1: Sự phổ biến trên thực địa |
Chúng tôi đã xác định được hai vectơ lây nhiễm dẫn người dùng đến các trang CAPTCHA giả mạo này: một là thông qua URL tải xuống trò chơi bị bẻ khóa và một là thông qua email lừa đảo. Người dùng GitHub đã bị nhắm mục tiêu bởi các email lừa đảo yêu cầu họ giải quyết một "lỗ hổng bảo mật" giả mạo trong kho lưu trữ dự án mà họ đã đóng góp hoặc đăng ký. Các email này hướng dẫn người dùng truy cập "github-scanner[.]com" để biết thêm thông tin về vấn đề bảo mật bị cáo buộc.
Chuỗi lây nhiễm ClickFix hoạt động bằng cách lừa người dùng nhấp vào các nút như "Verify you are a human" hoặc "I am not a robot.". Sau khi nhấp vào, một tập lệnh độc hại sẽ được sao chép vào bảng tạm của người dùng. Sau đó, người dùng bị lừa dán tập lệnh sau khi nhấn phím Windows + R, vô tình thực thi mã độc. Phương pháp lừa đảo này tạo điều kiện thuận lợi cho quá trình lây nhiễm, giúp kẻ tấn công dễ dàng triển khai mã độc.
 |
| Hình 2: Chuỗi lây nhiễm |
Các vectơ tấn công và phân tích kỹ thuật
Như minh họa trong sơ đồ, người dùng được chuyển hướng đến các trang CAPTCHA giả mạo thông qua hai hướng tấn công chính:
1. URL tải xuống phần mềm chơi game đã bẻ khóa:
Người dùng cố gắng tải xuống phiên bản phần mềm trò chơi lậu hoặc bẻ khóa sẽ được chuyển hướng đến các trang CAPTCHA độc hại.
 |
| Hình 3: Tìm kiếm để tải phiên bản crack của trò chơi |
Khi người dùng tìm kiếm trên Internet các phiên bản miễn phí hoặc bẻ khóa của các trò chơi điện tử phổ biến, họ có thể gặp phải các diễn đàn trực tuyến, bài đăng của cộng đồng hoặc kho lưu trữ công khai chuyển hướng họ đến các liên kết độc hại.
 |
| Hình 4: Runkit hướng dẫn người dùng tải xuống trò chơi |
Trong trường hợp này, một sổ ghi chép Runkit công khai lưu trữ liên kết độc hại (được tô sáng màu xanh). Khi người dùng truy cập URL (được tô sáng màu đỏ), họ sẽ được chuyển hướng đến các trang web CAPTCHA giả mạo.
 |
| Hình 5: Chuyển hướng xảy ra khi truy cập liên kết |
Trên trang này, sau khi người dùng nhấp vào nút "I am not a robot", một tập lệnh PowerShell độc hại sẽ được sao chép vào bảng tạm của họ và họ sẽ được nhắc thực thi tập lệnh đó.
 |
| Hình 6: Tập lệnh phụ trợ trên nút nhấp |
Trang web này có chức năng JavaScript cho phép sao chép tập lệnh vào bảng tạm.
 |
| Hình 7: Mã lệnh đã giải mã |
Tập lệnh được mã hóa theo Base64 (được tô sáng màu xanh lam) để giảm khả năng đọc cho người dùng. Sau khi giải mã (được tô sáng màu đỏ), mshta được phát hiện là đã bị lợi dụng. Tệp được lưu trữ tại https://verif.dlvideosfre[.]click/2ndhsoru chứa tệp nhị phân Windows, có các tập lệnh được thêm vào làm lớp phủ. Nếu không có lớp phủ được thêm vào, tệp sẽ là tệp nhị phân Windows sạch.
 |
| Hình 8: Tệp nhị phân Windows có tập lệnh được thêm vào |
Tiện ích mshta tìm kiếm thẻ <script> trong tệp và thực thi tập lệnh được nhúng trong đó, hoàn toàn bỏ qua phần nhị phân của tệp. Điều này cho phép kẻ tấn công nhúng các tập lệnh độc hại cùng với nội dung không thể thực thi, giúp mã dễ dàng không bị phát hiện trong khi vẫn được thực thi thông qua mshta.
 |
| Hình 9: Tập lệnh được tối giản hóa được thêm vào tệp đã tải xuống |
Sau khi phân tích, tập lệnh được phát hiện là một tệp JavaScript được mã hóa, sử dụng hai lớp mã hóa. Mã hóa nhiều cấp độ này che khuất chức năng thực sự của tập lệnh, khiến việc phát hiện và phân tích trở nên khó khăn hơn đối với các công cụ bảo mật. Phân tích sâu hơn cho thấy JavaScript được giải mã được thiết kế để tải xuống Lumma Stealer bằng lệnh PowerShell được mã hóa AES và thả nó vào thư mục Temp. Kỹ thuật này giúp mã tránh bị phát hiện bằng cách đặt tải trọng trong một thư mục thường được sử dụng, ít bị giám sát hơn, tạo điều kiện cho giai đoạn tiếp theo của quá trình lây nhiễm.
 |
| Hình 10: Cây quy trình |
2. Email lừa đảo mạo danh nhóm GitHub
Ở vectơ thứ hai, người dùng nhận được email lừa đảo, thường nhắm vào những người đóng góp cho GitHub, thúc giục họ giải quyết "lỗ hổng bảo mật" giả mạo. Những email này chứa các liên kết dẫn đến cùng một trang CAPTCHA giả mạo.
 |
| Hình 11: Email lừa đảo mạo danh GitHub |
Khi người dùng nhấp vào liên kết, họ sẽ được chuyển hướng đến các trang captcha giả mạo.
 |
| Hình 12: Trang CAPTCHA giả |
Các trang này sử dụng cùng một kỹ thuật: mã độc được sao chép vào bảng tạm khi người dùng nhấp vào nút và sau đó họ được nhắc thực thi mã độc đó.
 |
| Hình 13: Tập lệnh được sao chép vào bảng tạm |
Tập lệnh này sẽ truy xuất và thực thi nội dung của một tệp văn bản được lưu trữ trên máy chủ trực tuyến.
 |
| Hình 14: Gọi tập lệnh từ xa |
Nội dung của tệp văn bản chứa các lệnh PowerShell tải xuống tệp thực thi hoặc tệp zip. Các tệp này được lưu vào thư mục tạm thời và sau đó được thực thi. Các tệp đã tải xuống, trong những trường hợp này, là các mẫu Lumma Stealer.
Chiến lược phát hiện và giảm thiểu
McAfee chặn chuỗi lây nhiễm này ở nhiều giai đoạn:
Chặn URL của các trang CAPTCHA giả mạo.
 |
| Hình 15: McAfee chặn URL |
Ngăn chặn việc sử dụng mshta một cách có chủ đích.
 |
| Hình 16: McAfee chặn hành vi độc hại |
Kết luận và khuyến nghị
Tóm lại, chuỗi lây nhiễm ClickFix chứng minh cách tội phạm mạng khai thác các hành vi phổ biến của người dùng - chẳng hạn như tải xuống phần mềm bị bẻ khóa và trả lời email lừa đảo—để phân phối mã độc như Lumma Stealer. Bằng cách tận dụng các trang CAPTCHA giả, kẻ tấn công lừa người dùng thực thi các tập lệnh độc hại bỏ qua phát hiện, cuối cùng dẫn đến cài đặt mã độc.
Chuỗi lây nhiễm hoạt động thông qua hai vectơ chính: URL tải xuống phần mềm trò chơi bị bẻ khóa và email lừa đảo mạo danh GitHub. Trong cả hai trường hợp, người dùng được chuyển hướng đến các trang CAPTCHA độc hại, nơi các tập lệnh được thực thi để tải xuống và cài đặt mã độc. Việc sử dụng mã hóa nhiều lớp làm phức tạp thêm việc phát hiện và phân tích, khiến các cuộc tấn công này trở nên tinh vi hơn và khó ngăn chặn hơn.
Tại McAfee Labs, chúng tôi cam kết giúp các tổ chức tự bảo vệ mình khỏi các mối đe dọa mạng tinh vi, chẳng hạn như kỹ thuật kỹ thuật xã hội Clickfix. Sau đây là các biện pháp giảm thiểu và khắc phục được chúng tôi đề xuất:
1. Tiến hành các buổi đào tạo thường xuyên để giáo dục người dùng về các chiến thuật tấn công kỹ thuật xã hội và lừa đảo.
2. Cài đặt và duy trì phần mềm diệt vi-rút và mã độc được cập nhật trên tất cả các điểm cuối.3. Triển khai tính năng lọc email mạnh mẽ để chặn email lừa đảo và tệp đính kèm độc hại.4. Sử dụng phân đoạn mạng để hạn chế sự lây lan của mã trong tổ chức.5. Đảm bảo tất cả hệ điều hành, phần mềm và ứng dụng đều được cập nhật bản vá bảo mật mới nhất.6. Tránh tải xuống phần mềm bị bẻ khóa hoặc truy cập vào các trang web đáng ngờ.7. Xác minh URL trong email, đặc biệt là từ các nguồn không xác định hoặc không mong muốn.8. Hạn chế các tập lệnh dựa trên clipboard và vô hiệu hóa việc thực thi tập lệnh tự động.9. Luôn cập nhật các giải pháp diệt vi-rút và quét chủ động.10. Hướng dẫn người dùng tránh các lời nhắc CAPTCHA đáng ngờ trên các trang web không đáng tin cậy.11. Thường xuyên vá lỗi trình duyệt, hệ điều hành và ứng dụng.12. Theo dõi thư mục Temp để tìm các tập tin bất thường hoặc đáng ngờ.
Các chỉ số của sự thỏa hiệp (IoC)
Nguồn: https://www.mcafee.com/