Tin tặc phát tán bản Microsoft Teams độc hại nhằm chiếm quyền truy cập từ xa

Các nhà nghiêm cứu bảo mật thuộc Blackpoint vừa qua đã cảnh báo một chiến dịch phát tán phần mềm độc hại mới, trong đó tin tặc lợi dụng các quảng cáo Google được tài trợ hoặc thủ thuật SEO – Search Engine Optimization (tối ưu hóa kết quả tìm kiếm) để dẫn dụ người dùng tải xuống phiên bản cài đặt giả mạo của Microsoft Teams.

Thông tin chi tiết tin tặc

Mục đích của chiến dịch phát tán phần mềm giả mạo Microsoft Teams lần này là việc lây lan backdoor Oyster (hay còn được biết đến dưới cái tên Broomstick). Bằng cách chỉnh sửa trình cài đặt gốc từ nhà phát hành, Microsoft Teams đã bị tin tặc trojan hoá thành công, trở thành một công cụ giúp phát tán backdoor trên rộng rãi với số nạn nhân bị lây nhiễm gia tăng theo cấp số nhân.

Chiến thuật phát tán được tin tặc sử dụng rất đơn giản. Lợi dụng các quảng cáo Google được tài trợ hoặc thủ thuật SEO – Search Engine Optimization (tối ưu hóa kết quả tìm kiếm), mỗi khi một người dùng nào đó tìm kiếm trên thanh công cụ với các cụm từ liên quan tới việc tải xuống phần mềm Microsoft Teams như “teams download”, “download teams”,… lập tức một trang web dẫn tới trang web tải xuống giả mạo sẽ xuất hiện trên top đầu kết quả tìm kiếm, dẫn dụ người dùng truy cập và tải xuống. Trong báo cáo được ghi lại, một trong những trang web giả mạo được ghi nhận là teams-install[.]top

Khi người dùng thực thi tệp MSTeamsSetup.exe được tải từ trang web giả mạo trên, backdoor Oyster ngay lập tức được triển khai lên hệ thống của nạn nhân. Oyster backdoor là một mã độc đa giai đoạn (multistage), có cấu trúc module được thiết kế nhằm duy trì lâu dài khả năng truy cập từ xa vào hệ thống bị xâm nhập. Quá trình triển khai của mã độc này có thể được chia thành các phần chính như sau:

1. Mã độc thả một tệp DLL có tên CaptureService.dll vào một thư mục ngẫu nhiên bên trong đường dẫn %APPDATA%\Roaming. Thư mục %APPDATA% vốn là thư mục ẩn trên Windows, do đó bất kỳ các thư mục nào nằm trong thư mục này đều được ẩn khỏi sự quan sát của người dùng, khiến việc phát hiện sự xuất hiện bất thường trở nên khó khăn hơn đối với người không có am hiểu chuyên sâu về máy tính và hệ điều hành.
2. Tạo tác vụ theo lịch (Scheduled Task) với tên CaptureService để tự động kích hoạt DLL trên, đảm bảo duy trì sự hiện diện lâu dài trên hệ thống bị lây nhiễm. Mặt khác, tác vụ tự động này được cấu hình để sử dụng tiến trình rundll32.exe thường xuyên, do đó DLL độc hại liên tục được gọi, tin tặc có thể tuỳ ý truy cập đến hệ thống nạn nhân bởi kết nối tới backdoor Oyster liên tục được mở.
3. Kết nối tới máy chủ C2 của tin tặc. Thông qua backdoor, tin tặc có thể dễ dàng thu thập các dữ liệu nhạy cảm như thông tin về hệ thống của nạn nhân, các tài liệu được lưu trữ trên hệ thống hoặc cũng có thể tiến hành triển khai thêm các mã độc khác lên hệ thống, gây thiệt hại trầm trọng về an toàn bảo mật.

Khắc phục & Khuyến nghị

Các nhà nghiên cứu bảo mật khuyến nghị người dùng nên:

• Tải phần mềm hợp lệ: Chỉ thực hiện tải và cài đặt phần mềm từ trang chủ của nhà phát hành. Sử dụng bookmark dẫn trực tiếp tới các trang web hợp lệ thay vì truy cập gián tiếp thông qua các kết quả tìm kiếm hoặc quảng cáo.
• Sử dụng phần mềm bảo mật: Sử dụng các phần mềm bảo mật uy tín, giúp cảnh báo và chặn ngay lập tức đối với các trình cài đặt chưa được ký hoặc chứa các chữ ký số không đáng tin cậy.
• Nâng cao nhận thức: Nâng cao nhận thức cá nhân về các mối nguy từ không gian mạng, hiểu rõ các rủi ro của SEO poisoning và malversiting để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch phát tán mã độc nguy hiểm.
• Sử dụng dịch vụ bảo mật: Sử dụng các dịch vụ giám sát bảo mật 24/7, giúp dễ dàng phát hiện sớm các dấu hiệu như các tác vụ Scheduled Task bất thường, các thư mục lạ được tạo trong thư mục %APPDATA% hoặc các kết nối khả nghi tới máy chủ C2 của tin tặc thông qua giám sát lưu lượng mạng.

IOCs

Tham khảo

1. https://blackpointcyber.com/blog/malicious-teams-installers-drop-oyster-malware/