Nền tảng bị ảnh hưởng: Microsoft Windows
Người dùng bị ảnh hưởng: Microsoft Windows
Tác động: Thông tin bị đánh cắp có thể được sử dụng cho các cuộc tấn công trong tương lai
Mức độ nghiêm trọng: Cao

Vào tháng 8 năm 2024, FortiGuard Labs đã phát hiện ra một chương trình đánh cắp thông tin python mà chúng tôi gọi là Emansrepo được phân phối qua email bao gồm các đơn đặt hàng và hóa đơn giả mạo. Emansrepo nén dữ liệu từ trình duyệt và tệp của nạn nhân theo các đường dẫn cụ thể thành một tệp zip và gửi đến email của kẻ tấn công. Theo nghiên cứu của chúng tôi, chiến dịch này đã diễn ra từ tháng 11 năm 2023.

Kẻ tấn công đã gửi một email lừa đảo có chứa tệp HTML, được chuyển hướng đến liên kết tải xuống Emansrepo. Biến thể này được đóng gói bởi PyInstaller để có thể chạy trên máy tính mà không cần Python.

Hình 1: Luồng tấn công vào tháng 11 năm 2023

Hình 2: Liên kết tải xuống Emansrepo được nhúng trong RTGS Invoices.html.

Theo thời gian, luồng tấn công ngày càng trở nên phức tạp hơn. Dưới đây là các luồng tấn công mà chúng tôi tìm thấy vào tháng 7 và tháng 8 năm 2024:

Hình 3: Luồng tấn công vào tháng 8 và tháng 7 năm 2024

Nhiều giai đoạn khác nhau đang được thêm vào luồng tấn công trước khi tải xuống Emansrepo và nhiều hộp thư được sử dụng để nhận các loại dữ liệu bị đánh cắp khác nhau. Bài viết này sẽ cung cấp phân tích chi tiết về từng chuỗi tấn công và hành vi của nó. Sau đó, chúng tôi sẽ cung cấp tóm tắt nhanh về chiến dịch tiếp theo.

Luồng tấn công

• Chuỗi 1

Hình 4: Thư lừa đảo trong chuỗi 1 chứa trang tải xuống giả mạo

Tệp đính kèm là một dropper mô phỏng trang tải xuống. Nó tạo ra một phần tử liên kết trỏ đến dữ liệu của Purchase-Order.7z và sử dụng phương thức click() để “tải xuống” Purchase-Order.7z. Sáu giây sau, nó chuyển hướng đến một trang web hoàn toàn không liên quan.

Hình 5: Mã nguồn của tệp đính kèm

Purchase-Order.exe, tệp được nhúng trong Purchase-Order.7z, là tệp thực thi được biên dịch bởi AutoIt. Tệp này không bao gồm bất kỳ tệp nào và tập lệnh AutoIt xác định hành vi của tệp. Tập lệnh có nhiều hàm không sử dụng, gây cản trở cho quá trình phân tích của tệp. Mã có ý nghĩa duy nhất là tải preoffice.zip xuống thư mục Temp và giải nén tệp này vào % TEMP%\PythonTemp. Tệp zip chứa các mô-đun Python cần thiết và tester.py, tập lệnh độc hại để đánh cắp thông tin.

Hình 6: Tập lệnh AutoIt tải xuống thông tin đánh cắp của Python

• Chuỗi 2

Hình 7: Thư lừa đảo trong chuỗi 2

Tệp trong cùng trong PO7z là tệp HTA. Tệp nguồn của nó là tệp JavaScript hiển thị cửa sổ ẩn có tên PowerShell Script Runner và tải xuống tập lệnh PowerShell, script.ps1, với VBScript cho giai đoạn tiếp theo.

Hình 8: Thuật toán giải mã của tệp JavaScript và kết quả

Hành vi của script.ps1 tương tự như tập lệnh AutoIt trong chuỗi 1. Nó tải preoffice.zip vào thư mục Temp và giải nén vào %TEMP%\PythonTemp, nhưng nó thực thi Emansrepo bằng run.bat.

Hình 9: script.ps1 thực thi run.bat để chạy infostealer

• Chuỗi 3

Hình 10: Thư lừa đảo trong chuỗi 3

Tệp 7z trong liên kết trong email lừa đảo có chứa tệp lệnh được BatchShield ẩn đi.

Hình 11: Tệp lệnh đã được làm tối nghĩa

Sau khi giải mã, chúng ta có thể thấy rằng nó không phức tạp như thoạt nhìn. Nó chỉ cần tải xuống và thực thi script.ps1 bằng PowerShell.

Hình 12: Tệp hàng loạt đã được giải mã

Kẻ đánh cắp thông tin Python

Theo email nhận dữ liệu, hành vi đánh cắp thông tin có thể được chia thành ba phần. Nó tạo các thư mục để lưu trữ tạm thời dữ liệu bị đánh cắp cho từng phần và xóa chúng sau khi gửi dữ liệu cho kẻ tấn công. Dữ liệu bị đánh cắp được đính kèm vào email gửi cho kẻ tấn công.

• Phần 1 – Thông tin người dùng và tập tin văn bản

Trong phần 1, kẻ đánh cắp Python sẽ thu thập dữ liệu đăng nhập, thông tin thẻ tín dụng, lịch sử web, lịch sử tải xuống, tự động điền và các tệp văn bản (nhỏ hơn 0,2 MB) từ các thư mục Desktop, Document và Downloads.

Phần 1 bao gồm các tính năng ban đầu của Emansrepo vì chỉ có mã cho phần 1 trong biến thể tháng 11 năm 2023 (e346f6b36569d7b8c52a55403a6b78ae0ed15c0aaae4011490404bdb04ff28e5). Cần lưu ý rằng báo cáo emans841 đã được sử dụng làm bộ chia trong Saved_Passwords.txt kể từ biến thể tháng 12 năm 2023 (ae2a5a02d0ef173b1d38a26c5a88b796f4ee2e8f36ee00931c468cd496fb2b5a). Vì lý do này, chúng tôi gọi nó là Emansrepo.

Hình 13: Nội dung của Saved_Passwords.txt

Phiên bản được sử dụng vào tháng 11 năm 2023 sử dụng Prysmax Premium làm bộ chia.

Khi so sánh phiên bản vào tháng 11 năm 2023 với phiên bản đầu tiên của Prysmax stealer được chia sẻ trên GitHub, chúng tôi thấy chúng có nhiều chức năng tương tự, mặc dù Emansrepo stealer có ít tính năng hơn. Tuy nhiên, khi phần 2 và 3 được thêm vào Emansrepo, nó đã trở nên khá khác biệt so với Prysmax stealer.

Hình 14: Trái: Biến thể vào tháng 11 năm 2023. Phải: Phiên bản đầu tiên của Prysmax Stealer trên GitHub

• Phần 2 – Tệp PDF, tiện ích mở rộng, ví tiền điện tử và nền tảng trò chơi

Phần 2 sao chép các tệp PDF (nhỏ hơn 0,1 MB) từ các thư mục Desktop, Document, Downloads và Recents và nén các thư mục tiện ích mở rộng của trình duyệt, ví tiền điện tử và nền tảng trò chơi thành các tệp zip.

• Phần 3 – Cookie

Phần 3 sao chép các tệp cookie và nén chúng vào {process_name}_cookies.zip.

Chiến dịch mới

Gần đây chúng tôi đã phát hiện ra một chiến dịch tấn công khác sử dụng phần mềm độc hại Remcos, mà chúng tôi tin là có liên quan đến cùng một kẻ tấn công vì đã gửi email lừa đảo.

Hình 15: Bên trái: email của kẻ đánh cắp thông tin Python. Bên phải: Email của Remcos.

Như ảnh chụp màn hình ở trên cho thấy, các cuộc tấn công này có cùng nội dung nhưng sử dụng các phương pháp khác nhau để phân phối phần mềm độc hại. Luồng tấn công đối với Remcos đơn giản hơn nhiều. Kẻ tấn công chỉ gửi email lừa đảo có tệp đính kèm độc hại. Tệp đính kèm là DBatLoader, tải xuống và giải mã dữ liệu cho payload. Payload là Remcos được bảo vệ bởi một packer.

Hình 16: Luồng tấn công của chiến dịch Remcos mới

Phần kết luận

Emansrepo đã hoạt động ít nhất là từ tháng 11 năm ngoái và phương pháp tấn công liên tục phát triển. Các vectơ tấn công và phần mềm độc hại luôn thay đổi và lan rộng, do đó, điều quan trọng đối với các tổ chức là duy trì nhận thức về an ninh mạng. FortiGuard sẽ tiếp tục giám sát các chiến dịch tấn công này và cung cấp các biện pháp bảo vệ phù hợp khi cần thiết.

Bảo vệ Fortinet

Phần mềm độc hại được mô tả trong báo cáo này được FortiGuard Antivirus phát hiện và chặn như sau:

• W32/Kryptik.EB!tr
  JS/Agent.FEI!tr
  BAT/Downloader.2C22!tr

FortiGate, FortiMail, FortiClient và FortiEDR hỗ trợ dịch vụ FortiGuard AntiVirus. Công cụ FortiGuard AntiVirus là một phần của mỗi giải pháp. Do đó, khách hàng có các sản phẩm này với các biện pháp bảo vệ cập nhật đã được bảo vệ.

Dịch vụ FortiGuard CDR (giải trừ và tái thiết nội dung) có thể giải trừ đối tượng liên kết nhúng bên trong tài liệu Excel.

Để cập nhật thông tin về các mối đe dọa mới và đang nổi lên, bạn có thể  đăng ký  nhận cảnh báo trong tương lai.

Chúng tôi cũng đề xuất độc giả tham gia khóa  đào tạo miễn phí Fortinet Cybersecurity Fundamentals (FCF) , một mô-đun về các mối đe dọa Internet được thiết kế để giúp người dùng cuối tìm hiểu cách xác định và bảo vệ bản thân khỏi các cuộc tấn công lừa đảo.

Dịch vụ bảo mật FortiGuard IP Reputation và Anti-Botnet chủ động chặn các cuộc tấn công này bằng cách tổng hợp dữ liệu IP nguồn độc hại từ mạng lưới phân tán Fortinet gồm các cảm biến đe dọa, CERT, MITRE, các đối thủ cạnh tranh hợp tác và các nguồn toàn cầu khác cộng tác để cung cấp thông tin tình báo về mối đe dọa mới nhất về các nguồn thù địch.

Nếu bạn tin rằng mối đe dọa an ninh mạng này hoặc bất kỳ mối đe dọa nào khác đã tác động đến tổ chức của bạn, vui lòng liên hệ với  Nhóm ứng phó sự cố FortiGuard toàn cầu của chúng tôi .

Mỗi chiến dịch lừa đảo mà Cofense Intelligence phân tích đều được đặt tiêu đề bao gồm một chủ đề. Chủ đề này quan trọng vì nó đặc trưng hóa chiến dịch và cung cấp thông tin về ý định của tác nhân đe dọa. Việc biết rằng một email lừa đảo nhắm vào ngành du lịch được thiết kế với chủ đề Hỗ trợ Du lịch thay vì một chủ đề Tài chính chung chung là quan trọng vì nó giúp tạo ra một phản ứng có tập trung hơn. Nó cũng giúp các công ty lựa chọn các mô phỏng lừa đảo phù hợp hơn để sử dụng cho nhân viên của họ. Chúng tôi sẽ đề cập đến một số chủ đề phổ biến hơn, những gì chúng bao gồm, và những xu hướng chúng ta có thể quan sát được với chúng.

Những Điểm Chính.

• Các chủ đề dựa trên nội dung email bao gồm tiêu đề, nội dung email, các tệp đính kèm, v.v.
• Biến thể chủ đề cao nhất xuất hiện trong Q3 và Q4 của năm 2023.
• Email có chủ đề Lợi ích là phổ biến nhất trong Q1 và Q4 của năm 2023.
• Email có chủ đề Fax và Tài liệu là phổ biến nhất trong Q1 của năm 2023.
• Email có chủ đề Pháp lý là phổ biến nhất trong Q3 và Q4 của năm 2023.
• Email có chủ đề Thuế và Thông báo là phổ biến nhất trong Q3 của năm 2023.
• Email có chủ đề Đóng (như đóng gói một giao dịch bất động sản) là phổ biến nhất trong Q1 và Q3 của năm 2023.
• Trong số các chủ đề chính, Tài chính chiếm 54%, Thông báo chiếm 35%, Vận chuyển chiếm 7%, và Phản ứng chiếm 3%.
• Trong số các chủ đề Trung bình, Tài liệu chiếm 38%, Tin nhắn thoại chiếm 25%, Hỗ trợ Du lịch chiếm 24%, Fax chiếm 8%, và Pháp lý chiếm 6%.
• Trong số các chủ đề Nhỏ, Lợi ích chiếm 37%, Thuế chiếm 32%, Đơn ứng tuyển công việc chiếm 21%, và Đóng chiếm 10%.

Ý Nghĩa của Các Chủ Đề Email Lừa Đảo.

Các chủ đề quan sát được trong báo cáo này đặc biệt là chủ đề tổng thể của email, không chỉ là tiêu đề hoặc thông tin đăng nhập nhắm mục tiêu. Điều này bao gồm cả thương hiệu bị giả mạo, tên tệp đính kèm, tệp đính kèm hiển thị trong trường hợp các tài liệu hoặc tệp HTM(L), và nội dung thân email. Tuy nhiên, một phần lớn của chủ đề của một email liên quan đến tiêu đề của nó vì đó, sau tất cả, là phần đầu tiên mà một nạn nhân thấy, vì vậy thường được thiết kế để thu hút sự chú ý của họ.

Các Chủ Đề Theo Thời Gian.

Quan sát các xu hướng trong các chủ đề email lừa đảo của các chiến dịch trong năm 2023 giúp chúng tôi hiểu được những gì mà các tác nhân đe dọa nghĩ là có khả năng gây tương tác từ các nạn nhân tại thời điểm đó. Chúng tôi sẽ xem xét một số thay đổi trong số lượng chủ đề dựa trên thời gian trong năm, ví dụ như email có chủ đề Lợi ích tăng đột ngột trong các giai đoạn thích hợp. Tổng thể, chúng tôi đã thấy số lượng lớn nhất của các chiến dịch có chủ đề nhất quán trong Q3, số lượng thấp nhất trong Q2 và sự biến đổi cao nhất về các chủ đề trong Q3 và Q4.

Các Chủ Đề Chính

Các chủ đề email lừa đảo “Chính” ở đây là những chủ đề có số lượng lớn nhất và thường là những chủ đề phổ biến nhất vì nhân viên có khả năng cao hơn để thấy chúng. Các chủ đề trong danh mục này bao gồm Tài chính, Thông báo, Vận chuyển và Phản ứng.

Tài chính – Các email có chủ đề thường có tiêu đề liên quan đến hóa đơn, thanh toán, biên lai lương, báo cáo, đơn hàng, chuyển khoản hoặc biên nhận. Chủ đề Tài chính khá ổn định trong năm 2023, nhìn chung có một sự giảm nhẹ từ Q1 đến Q4 mà không có sự giảm đột ngột hoặc tăng lớn. Điều này có thể là do Tài chính là chủ đề phổ biến nhất và gặp phải sự suy giảm về số lượng tương tự như hầu hết các chiến dịch khác thấy vào cuối năm.

Thông báo – Các email có chủ đề thông báo thường có tiêu đề liên quan đến việc hết hạn mật khẩu, nhắc nhở, tin nhắn, hành động cần thiết, hoạt động gần đây, hoặc cuộc hẹn. Chủ đề Thông báo tăng dần cho đến Q3 và sau đó giảm đột ngột vào Q4. Điều này là một phần của xu hướng tổng thể trong lĩnh vực lừa đảo khi Q4 chứng kiến một sự giảm tổng thể trong các chiến dịch.

Giao hàng – Các email có chủ đề giao hàng thường có tiêu đề liên quan đến vận chuyển, thông tin cảng, thông báo đến, hàng hóa, hoặc bất cứ điều gì liên quan đến DHL, FedEx, UPS và USPS. Chủ đề Giao hàng cao nhất trong Q1, cụ thể là vào tháng Hai, và tiếp tục giảm cho đến Q4. Theo phân tích chiến lược của chúng tôi “Email có Chủ Đề Giao Hàng: Không Chỉ Dành Cho Ngày Lễ” bao gồm dữ liệu từ năm 2021-2023, số lượng email có chủ đề giao hàng thường chỉ tăng một cách nhẹ vào Q4, điều này chúng tôi chỉ thấy vào cuối Q4 trong năm 2023.

Phản hồi – Các email có chủ đề phản ứng thường có tiêu đề liên quan đến bất kỳ loại phản hồi nào hoặc đôi khi là các tin nhắn được chuyển tiếp cũng như các chuỗi email bị chiếm đoạt và giả mạo. Trong khi nhiều tác nhân đe dọa giả mạo các chuỗi trả lời, những tác nhân đe dọa tiên tiến nhất chiếm đoạt các chuỗi email đã tồn tại trước đó. Chủ đề Phản ứng đạt đỉnh vào Q2, cụ thể là vào tháng Năm với tỉ lệ cao nhất 25% so với mỗi tháng khác. Điều này hợp lý vì tháng Năm chứng kiến sự gia tăng mạnh mẽ trong các chiến dịch QakBot sử dụng các chủ đề phản ứng hoặc thậm chí là tiêm vào các chuỗi trả lời đã tồn tại trước đó.

Figure 1: Major campaign themes in 2023.

Các Chủ Đề Trung Bình.

Các chủ đề email lừa đảo “Trung bình” ở đây là những chủ đề không phải là phổ biến nhất nhưng vẫn thường xuyên xuất hiện và thường được sử dụng trong các chiến dịch có tính cơ động hoặc phức tạp hơn. Các chủ đề trong danh mục này bao gồm Tài liệu, Tin nhắn thoại, Hỗ trợ Du lịch, Fax và Pháp lý.

Tài liệu – Các email có chủ đề tài liệu thường có tiêu đề liên quan đến các tài liệu đã được phê duyệt, chữ ký tài liệu, tài liệu hoàn thành, tài liệu được chia sẻ, hoặc chúng giả mạo DocuShared và DocuSign. Các email có chủ đề tài liệu là duy nhất trong các chủ đề trung bình không giảm trong Q2.

Tin nhắn thoại – Các email có chủ đề tin nhắn thoại thường có tiêu đề liên quan đến thư thoại, tin nhắn thoại, âm thanh cuộc gọi, cuộc gọi thoại, chi tiết người gọi, ghi chú người gọi, cuộc gọi nhỡ, các bản ghi, hoặc bản ghi cuộc gọi. Chủ đề Tin nhắn thoại đạt đỉnh vào đầu Q1 và cuối Q3 trước khi ổn định trong Q4.

Hỗ trợ du lịch – Các email có chủ đề hỗ trợ du lịch thường có tiêu đề liên quan đến phản ứng với các email điều tra về đặt phòng, đặt chỗ, hỗ trợ với du lịch, đặt chỗ, các điều kiện y tế, yêu cầu phòng. Email có chủ đề Hỗ trợ Du lịch nhắm vào ngành dịch vụ khách hàng từ Q3 đến Q4 nhưng suy giảm vào cuối Q4. Cụ thể trong tháng Mười Hai có sự giảm 66% trong số lượng email có chủ đề Hỗ trợ Du lịch.

Tín nhắnFax – Các email có chủ đề fax thường có tiêu đề liên quan đến tin nhắn fax, tài liệu đã fax, fax bí mật, hoặc chúng giả mạo eFax hoặc MyFax. Chủ đề Fax đạt đỉnh vào Q3, giảm xuống mức thấp nhất vào Q2, và tăng dần trong phần còn lại của năm.

Pháp lý – Các email có chủ đề pháp lý có một số lượng đề tài liên quan rộng lớn và thường có các tiêu đề liên quan đến bắt giữ, thách thức quyền giám hộ, lệnh triệu tập, các vụ án, các biện pháp trừng phạt, phạt về phương tiện, cáo buộc, vụ kiện hình sự, hoặc vụ kiện dân sự. Chủ đề Pháp lý tăng từ Q1 đến Q4 trong năm 2023. Đa số trong số này là bằng tiếng Tây Ban Nha. Từ Q1 đến Q3 chủ yếu là Remcos nhưng Q4 thấy sự đa dạng hóa vào XWorm RAT, njRAT, và Async RAT.

Figure 2: Moderate campaign themes in 2023.

Các Chủ Đề Phụ.

Các chủ đề email lừa đảo “Nhỏ” ở đây ít được nhìn thấy nhất nhưng có thể liên quan đến một thời điểm cụ thể trong năm. Các chủ đề trong danh mục này bao gồm Đóng cửa (thường là mua nhà), Lợi ích, Thuế và Đơn Ứng tuyển Việc làm.

Email có chủ đề Đóng cửa (thường là mua nhà) thường có tiêu đề liên quan đến tài liệu đóng cửa, gói đóng cửa, báo cáo thanh toán, khoản thanh toán đóng cửa, hoặc các tiết lộ đóng cửa. Chủ đề Đóng cửa giảm dần theo thời gian và không xuất hiện chút nào trong Q2, điều này làm ngạc nhiên vì Q2-Q3 thường là thời điểm bán nhà sôi động nhất.

Lợi ích – Các email có chủ đề Lợi ích thường có tiêu đề liên quan đến bảo hiểm, điều chỉnh lương, chính sách thanh toán, gói lợi ích, lợi ích hàng năm, sửa đổi lương, đăng ký, bảo hiểm y tế, lợi ích nhân viên, bảo hiểm sức khỏe, đăng ký mở cửa, W2s, hoặc phê duyệt nghỉ phép. Chủ đề Lợi ích cao nhất trong Q1 và Q4, điều này hợp lý vì thời gian này là thời điểm mà hầu hết các công ty thực hiện các chương trình lợi ích.

Thuế – Các email có chủ đề Thuế thường có tiêu đề liên quan đến hóa đơn thuế, VAT, biên nhận thuế, giấy phép thuế, đánh giá thuế, thuế bán hàng, điều chỉnh thuế, e-filling, hoặc Cơ quan Thuế Liên bang Mỹ (IRS). Chủ đề Thuế đạt đỉnh vào Q3 và Q4, có lẽ sử dụng ngày đáo hạn thuế để làm cho người ta hoang mang (Thuế cho các công ty đặt trụ sở tại Hoa Kỳ thường phải nộp vào tháng Tư ở đầu Q2).

Đơn ứng tuyển việc làm – Các email có chủ đề Đơn Ứng tuyển Việc làm thường có tiêu đề liên quan đến sơ yếu lý lịch, CV (lý lịch trích ngang), đề nghị việc làm, đơn ứng tuyển, vị trí công việc trống, tìm kiếm việc làm, hoặc một tên vị trí như “cố vấn tài chính”. Chủ đề Đơn Ứng tuyển Việc làm ổn định trong Q1 và Q2 nhưng giảm dần vào nửa sau của năm.

Figure 3: Minor campaign themes in 2023.