Phần mềm độc hại dùng Gmail để nhận lệnh và lọc dữ liệu người dùng

10:25, 27/05/2020

Phiên bản tiên tiến của backdoor ComRAT mới bị phát hiện có khả năng sử dụng giao diện web của Gmail để nhận lệnh từ tin tặc và lọc dữ liệu nhạy cảm.

Báo Thanh niên đưa tin, phiên bản ComRAT v4 (tác giả của phần mềm độc hại này gọi tên khác là “Chinch”) sử dụng toàn bộ cơ sở mã mới và phức tạp hơn rất nhiều so với các đời trước. Theo các nhà nghiên cứu bảo mật tại ESET, mục đích sử dụng chính của ComRAT là phát hiện, ăn cắp, lọc tài liệu cá nhân, có trường hợp còn triển khai phần thực thi .NET để tương tác với cơ sở dữ liệu MS SQL Server trên máy nạn nhân có chứa tài liệu của các tổ chức.

Chế độ “Mail” của ComRAT v4 hoạt động sẽ đọc địa chỉ email và các tập tin tạm (cookie) đã được xác thực lưu trữ tại VFS (Virtual File System), kết nối với giao diện HTML cơ bản của Gmail, phân tích cú pháp hòm thư tới ở trang HTML rồi lấy danh sách email có chủ đề khớp với tập tin “subject.str” trên VFS.

Với mỗi email đáp ứng tiêu chí trên, ComRAT sẽ tải tập tin đính kèm khả dụng và xóa luôn thư điện tử đó để tránh xử lý lại lần hai. Dù chứa định dạng như tập tin Word (.docx) hay Excel (.xlsx) trong tên, các tập đính kèm thực tế không phải tập tin tài liệu mà là tập dữ liệu nhị phân được mã hóa có chứa các lệnh thực thi chuyên biệt như đọc/ghi file, thực thi tiến trình bổ sung, thu thập lịch sử hoạt động…

Kết quả từ các lệnh thực thi sau đó được mã hóa và lưu trữ dạng tập đính kèm rồi gửi trong email vào địa chỉ đích có sẵn trong file VFS.

Dựa trên các mẫu phân phối Gmail trong một tháng, ESET cho biết những kẻ đứng sau chiến dịch này hoạt động ở múi giờ UTC+3 hoặc UTC+4.

“ComRAT v4 lần đầu được phát hiện năm 2017 và tính tới tháng 1.2020 vẫn hoạt động”, chuyên gia bảo mật tại công ty ESET chia sẻ trên THN. Hãng này phát hiện có ít nhất 3 mục tiêu mà phần mềm độc hại nhắm tới gồm Bộ Ngoại giao của hai quốc gia thuộc Tây Âu và một quốc hội thuộc vùng Kavkaz.

Backdoor ComRAT được nhóm Turla APT sử dụng từ lâu. Nhóm này còn được biết đến với tên gọi Snake, hoạt động từ hơn một thập kỷ qua với “bề dày thành tích” chiến dịch tấn công nhắm vào đại sứ quán, tổ chức quân sự từ khoảng năm 2004 hoặc trước đó.

Hoạt động gián điệp của Turla bắt đầu với Agent.BTZ năm 2007, sau này phát triển thành ComRAT - công cụ điều khiển từ xa nhằm bổ sung khả năng ăn cắp thông tin từ mạng cục bộ. Chính các phiên bản đầu tiên của Agent.BTZ đã lây nhiễm vào mạng quân sự của Mỹ tại Trung Đông năm 2008. Vài năm trở lại đây, Turla được xác định đứng sau các vụ tấn công vào mạng Lực lượng vũ trang Pháp (FAF) năm 2018 và Bộ Ngoại giao Áo hồi đầu năm nay.

Thiên Thanh (T/h)