-
09/04/2020
-
128
-
1.712 bài viết
Telegram giả mạo phát tán mã độc nhiều tầng, chạy trực tiếp trong RAM
Dù giao diện trang web và tệp cài đặt giống hệt phần mềm thật, nhưng ẩn sau đó là một kịch bản tấn công tinh vi, có khả năng vượt qua mọi lớp bảo mật của Windows để nằm vùng trong bộ nhớ máy tính. Điều này cho thấy chỉ một sơ suất nhỏ của người dùng cũng có thể tạo ra nguy cơ nghiêm trọng.
Mới đây, các chuyên gia từ K7 Security Labs đã phát hành cảnh báo khẩn cấp về chiến dịch nhắm vào người dùng Telegram thông qua kỹ thuật Typosquatting, tức giả mạo tên miền. Chỉ cần gõ sai một chữ cái trong địa chỉ, người dùng có thể tải nhầm malware mà không hề hay biết.
Sai một li, đi một dặm: Cái bẫy từ sự chủ quan
Để bắt đầu chiến dịch, tin tặc đã kỳ công xây dựng một "hệ sinh thái" giả mạo đầy thuyết phục. Chúng đăng ký hàng loạt tên miền có ngoại hình "suýt soát" với địa chỉ chính thức của Telegram như telegrgam[.]com hay telefgram[.]com.Quy trình lây nhiễm của mã độc (theo K7 Security Labs)
Chỉ cần người dùng gõ thiếu một nhịp phím hoặc lướt qua các kết quả tìm kiếm quảng cáo, họ sẽ lập tức lạc vào một trang web có giao diện chuyên nghiệp, bóng bẩy không khác gì "hàng thật". Tại đây, nút tải xuống mời gọi với tệp tin mang tên tsetup-x64.6.exe. Với biểu tượng chuẩn xác và quy trình cài đặt mượt mà, mã độc này dễ dàng vượt qua bài kiểm tra lòng tin của ngay cả những người dùng có kinh nghiệm, khiến họ tin rằng mình đang sở hữu ứng dụng nhắn tin bảo mật hàng đầu thế giới mà không hề biết rằng "tử thần" đã gõ cửa.
“Kẻ xâm nhập tàng hình” và chuỗi hành động tinh vi
Điều khiến mã độc này trở nên đặc biệt nguy hiểm không nằm ở giao diện, mà ở cách nó xâm nhập và chiếm quyền kiểm soát hệ thống. Thay vì khai thác lỗ hổng trực tiếp, nó thực hiện một chuỗi hành động nhiều tầng được thiết kế để vô hiệu hóa các biện pháp bảo vệ trước khi thực thi payload cuối cùng.
Đầu tiên, chúng thực thi một lệnh PowerShell được obfuscate để tạm thời vô hiệu hóa Windows Defender, loại trừ toàn bộ ổ đĩa khỏi quét thời gian thực. Điều này tương đương với việc vô hiệu hóa lớp phòng thủ chủ động của hệ thống, tạo điều kiện cho các bước tiếp theo diễn ra mà không bị phát hiện.
Đầu tiên, chúng thực thi một lệnh PowerShell được obfuscate để tạm thời vô hiệu hóa Windows Defender, loại trừ toàn bộ ổ đĩa khỏi quét thời gian thực. Điều này tương đương với việc vô hiệu hóa lớp phòng thủ chủ động của hệ thống, tạo điều kiện cho các bước tiếp theo diễn ra mà không bị phát hiện.
Vượt qua lớp bảo vệ Defender (Nguồn: K7 Security Labs)
Sau đó, mã độc tái tạo và thực thi payload trực tiếp trong RAM thông qua kỹ thuật Reflective Loading. Thay vì ghi file thực thi ra ổ đĩa, dữ liệu nhị phân được mã hóa trong một file trung gian (ví dụ GPUCache.xml) được đọc, giải mã và dựng lại thành một Portable Executable (PE) hoàn chỉnh ngay trong bộ nhớ. Payload chạy hoàn toàn trong RAM, gắn vào tiến trình hợp pháp của Windows như rundll32.exe, do đó không để lại file trên ổ cứng và gần như không thể bị phát hiện bởi các công cụ quét dựa trên file.
Nhờ cơ chế này, mã độc vừa ẩn mình trong tiến trình hợp pháp, vừa duy trì quyền kiểm soát hệ thống và có thể nhận lệnh từ máy chủ điều khiển C2 mà người dùng không hề hay biết.
Nhờ cơ chế này, mã độc vừa ẩn mình trong tiến trình hợp pháp, vừa duy trì quyền kiểm soát hệ thống và có thể nhận lệnh từ máy chủ điều khiển C2 mà người dùng không hề hay biết.
Máy tính trở thành “trạm phát” cho tin tặc
Khi đã bám rễ sâu vào hệ thống, mã độc đã mở một cửa hậu để kết nối với máy chủ điều khiển (C2) tại 27[.]50[.]59[.]77. Từ đây, tin tặc có toàn quyền điều khiển máy tính, bao gồm đánh cắp mật khẩu, theo dõi tin nhắn và thậm chí biến thiết bị thành một phần của mạng lưới tấn công lớn hơn.
Để đánh lạc hướng người dùng, trình cài đặt vẫn triển khai đồng thời một phiên bản Telegram chính thức. Nhờ đó, nạn nhân vẫn sử dụng ứng dụng bình thường mà không nhận ra mã độc đã hoạt động trên hệ thống.
Để đánh lạc hướng người dùng, trình cài đặt vẫn triển khai đồng thời một phiên bản Telegram chính thức. Nhờ đó, nạn nhân vẫn sử dụng ứng dụng bình thường mà không nhận ra mã độc đã hoạt động trên hệ thống.
Làm thế nào để tự bảo vệ mình?
Nhìn vào mức độ tinh vi của chiến dịch, các chuyên gia khuyến cáo người dùng cần kết hợp nhiều biện pháp phòng ngừa. Trước hết, kiểm tra kỹ URL trước khi tải bất kỳ tệp nào, đảm bảo địa chỉ là telegram.org, và cẩn trọng với các kết quả quảng cáo trên Google.
Bên cạnh đó, cảnh giác với các yêu cầu lạ là cần thiết: nếu tệp cài đặt đòi quyền quản trị cao hoặc mở các cửa sổ lệnh bất thường, hãy dừng lại ngay lập tức. Cuối cùng, việc sử dụng công cụ bảo mật hiện đại – ưu tiên các giải pháp giám sát hành vi và bộ nhớ thay vì chỉ dựa vào quét file - sẽ giúp phát hiện và ngăn chặn những hoạt động nguy hiểm trước khi chúng gây hại.
Nhìn chung, sự tinh vi của tin tặc ngày càng tăng cao, nhưng vũ khí mạnh nhất của họ vẫn là sự thiếu quan sát của người dùng. Do đó, việc luôn tỉnh táo và kiểm tra kỹ trước khi nhấn nút “Download” là bước bảo vệ đơn giản nhưng hiệu quả nhất.
Bên cạnh đó, cảnh giác với các yêu cầu lạ là cần thiết: nếu tệp cài đặt đòi quyền quản trị cao hoặc mở các cửa sổ lệnh bất thường, hãy dừng lại ngay lập tức. Cuối cùng, việc sử dụng công cụ bảo mật hiện đại – ưu tiên các giải pháp giám sát hành vi và bộ nhớ thay vì chỉ dựa vào quét file - sẽ giúp phát hiện và ngăn chặn những hoạt động nguy hiểm trước khi chúng gây hại.
Nhìn chung, sự tinh vi của tin tặc ngày càng tăng cao, nhưng vũ khí mạnh nhất của họ vẫn là sự thiếu quan sát của người dùng. Do đó, việc luôn tỉnh táo và kiểm tra kỹ trước khi nhấn nút “Download” là bước bảo vệ đơn giản nhưng hiệu quả nhất.
Theo Cyber Security News
Chỉnh sửa lần cuối: