Brado Stealer - Mã độc đánh cắp thông tin đang nhắm tới Việt Nam và các quốc gia khác.
Braodo Stealer, một phần mềm độc hại dựa trên Python, đã hoạt động từ đầu năm 2024 và chủ yếu nhắm vào người dùng ở Việt Nam, với các nạn nhân bổ sung ở các quốc gia như Mỹ, Czechia, Đức, Hà Lan, Singapore và Vương quốc Anh. Nó có thể lây lan thông qua các email giả mạo và email tấn công nhắm mục tiêu.
1. Thông tin về mã độc
Trong quá trình thực hiện phát hiện mối đe dọa, Nhóm Nghiên cứu và Tư vấn của CYFIRMA đã phát hiện một thư mục công khai lưu trữ một phần mềm đánh cắp thông tin có tên là Braodo Stealer, có nguồn gốc từ Việt Nam. Phần mềm độc hại này đã được mã hóa nhiều lần và sử dụng các script batch, PowerShell, tệp thực thi (exe), HTA và PDF để lây lan. Nhiều kho lưu trữ trên GitHub được sử dụng để lưu trữ mã độc, trong khi nhiều bot Telegram được sử dụng để trích xuất dữ liệu. Mã độc hoạt động âm thầm, thu thập và lưu trữ dữ liệu, sau đó gửi dữ liệu đó đến các bot Telegram.
Phần mềm độc hại này sử dụng GitHub và một máy chủ VPS đặt tại Singapore để lưu trữ và phân phối mã độc. Đáng chú ý, ASN của máy chủ VPS cũng đã lưu trữ các trang web tương tự như các trang web của chính phủ Việt Nam trên các IP khác nhau, mặc dù các trang web này hiện không còn hoạt động.
Braodo Stealer trích xuất dữ liệu trình duyệt internet thông qua các bot Telegram. Thông tin bị đánh cắp bao gồm thông tin đăng nhập từ các nền tảng tài chính như Coinbase, Binance, Payoneer và PayPal, cũng như các tài khoản từ GitHub, Amazon AWS, ResearchGate, Walmart, Shopify, LinkedIn, Twitter, TikTok, Reddit, Facebook, Instagram, Netflix, Microsoft, RiotGames và Garena."
2. Phân tích kỹ thuật
Braodo Stealer giải mã chính nó và tải xuống một payload giai đoạn thứ hai được lưu trữ trên GitHub. Các kho lưu trữ GitHub sau đây đã được xác định là lưu trữ phần mềm độc hại Braodo Stealer, xem chi tiết tại 2 hình dưới đây.
Ngoài ra, Braodo Strealer có thể tải dễ dàng, tồn tại dưới nhiều biến thể khá nhau (như tệp có định dạng BAT, MSI, HTA) và các payload Python (như Document.zip, Documentt.zip). Tất cả đều được lưu trữ trên một máy chủ HTTP thư mục công khai tại IP: 103[.]54.153.116. (Xem hình dưới đây để biết chi tiết.)
Các biến thể bao gồm BAT, MSI và HTA đều gửi cùng một payload Python của Braodo Stealer, một phần mềm đánh cắp dữ liệu trình duyệt từ nạn nhân. Trong số các biến thể đã đề cập, script ‘breakingbad.bat’ là một script bị mã hóa. Sau khi giải mã, nó tiết lộ một máy chủ lưu trữ khác – 45[.]147.97.170 – liên quan đến các đối tượng tấn công.
Cả 2 máy chủ đều 103.54[.]153.116 và 45.147[.]97.170 đang sử dụng dịch vụ lưu trữ tại Singapore và Pháp. Đáng lưu ý hơn, ASN của địa chỉ IP Singapore, 103.54[.]153.116, lưu trữ một số dịch vụ khác có vẻ như là các trang web chính phủ Việt Nam và được đánh giá là các trang phishing. Các địa chỉ IP này chia sẻ cùng ASN, tên máy và phiên bản hệ điều hành với địa chỉ IP của đối tượng tấn công.
Các trang web trên là giả mạo giao diện dựa theo các trang web của Bộ Công An. Kẻ chủ mưu có thể đang chuẩn bị cho chiến dịch thực hiện đánh cắp thông tin thông qua cả việc lừa đảo phishing và lây lan mã độc Braodo Stealer.
Thông qua việc phân tích thống kê dữ liệu bị lộ lọt, hầu hết nạn nhân đến từ Việt Nam, một số khác từ Singapore, Mỹ, cộng hòa Séc và Hà Lan.
3. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị một số cách để giảm thiểu rủi ro cũng như là tác động của mã độc Braodo Stealer cũng như chiến dịch lừa đảo quy mô lớn:
Triển khai các giải pháp bảo mật điểm cuối được trang bị khả năng phát hiện và ngăn chặn mối đe dọa tiên tiến để nhận diện và ngăn chặn các hoạt động độc hại một cách hiệu quả.
Sử dụng phần mềm chống virus và chống phần mềm độc hại có uy tín có thể phát hiện và loại bỏ các payload độc hại một cách nhanh chóng để tăng cường bảo mật hệ thống tổng thể.
Luôn cập nhật các hệ điều hành, ứng dụng và phần mềm bảo mật với các bản vá thường xuyên để giảm thiểu các lỗ hổng đã biết thường xuyên bị các mối đe dọa mạng khai thác.
Tiến hành đào tạo toàn diện cho nhân viên về cách nhận diện các mối đe dọa phishing, nhấn mạnh các rủi ro liên quan đến việc mở tệp đính kèm hoặc nhấp vào liên kết trong các email không yêu cầu.
Phát triển một kế hoạch ứng phó sự cố toàn diện, chi tiết các hành động cần thực hiện trong trường hợp nhiễm phần mềm độc hại, bao gồm cô lập các hệ thống bị ảnh hưởng và thông báo kịp thời đến các bên liên quan.
Cập nhật thông tin tình báo về mối đe dọa và các chỉ số xâm nhập liên quan đến phần mềm độc hại để phát hiện và giảm thiểu các mối đe dọa tiềm ẩn một cách chủ động.
Thực hiện sao lưu thường xuyên dữ liệu và hệ thống quan trọng để giảm thiểu tác động của các cuộc tấn công ransomware hoặc mất mát dữ liệu do nhiễm phần mềm độc hại.
4. Danh sách IOCs liên quan tới Braodo Stealer
STT | IOC | Loại | Tên |
1 | e246a68e4ff8098ffd08da24c27726a11daa84f63b27bf79b93b374d9757d032 | SHA256 Hash | Technical specifications of the Car (technical specifications, colors, technology…).bat |
2 | f4f843853c7a08c08181516ae2a910dfeb712e32b4ab10df23149d9f57ab581e | SHA256 Hash | brbad.bat |
3 | 6ec111b78a9788fcbca92dcc48b0d5f78d4df6a5f8d0ce96390851e832eace0d | SHA256 Hash | breakingbad.bat |
4 | 4092ff03e7a69efd728a0dd2a181fdeef99df6ebdf0e6f39140718e805efe655 | SHA256 Hash | breakingbad.msi |
5 | 4c3b91cd25650a7e1ee80164fd0598cdbf64e75ddf4ce08141aea42ee56cb134 | SHA256 Hash | dejin.pdf |
6 | b84dc0ea50ce08686d543cc08b87792026c233afee9b029768e0648cf5b06bd8 | SHA256 Hash | Documentt.zip |
7 | 998bb0d396dbf2ed6a412737f040228b00782267d473ceae502788451e076825 | SHA256 Hash | Document.zip |
8 | 76c0693dce55c0835ad73102541d4244b3b7ee91649890faca85290b4f9ab005 | SHA256 Hash | file.hta |
9 | f735c170cee9e89c0318f266fc7469fde40d19eca406fbfa974b872a9b367a19 | SHA256 Hash | Update Browser.bat |
10 | bde85da1206fa48ac5a66818023a495bb03418a32a2936afef3cdb332a2bce17 | SHA256 Hash | UpdateBrowser.msi |
11 | f65c51f438241475dd8856ffa578610cfabab4aa8b52a09febf5ae061a5f42f7 | SHA256 Hash | via us.txt.zip |
12 | c15dee4fe227d6311f612f3aacc86080e2f8c450ad3b78d1271603891ec61a52 | SHA256 Hash | ViaUs.txt.zip |
13 | 103[.]54.153.116 | C2 | Hosts Malware |
14 | 45[.]147.97.170 | C2 | Hosts Malware |
15 | github.com/s123s1/s | Github Repo | Hosts Malware |
16 | github.com/vtbg1/s | Github Repo | Hosts Malware |
17 | github.com/zzhshsss/s | Github Repo | Hosts Malware |
18 | bot7120180818:AAEBAEYZZ44zM8wICJ-bJTLHKbnhDEYwVrk | Telegram Bot | Exfiltration Telegram |
19 | bot7120260932:AAE2zApf_cqTt57pmwxJUodvBar2l7x7fbA | Telegram Bot | Exfiltration Telegram |
20 | bot6878187208:AAFjqOqPfUbezs5GaBB-x99QhDkXaXsWgpg | Telegram Bot | Exfiltration Telegram |
21 | bot7094444204:AAFoaWZVfCF4ZyHvMpuAY0U15D3JlzxhNYg | Telegram Bot | Exfiltration Telegram |
22 | bot7147346317:AAHcazkPzwexz-_QwcdWQr96JJMKueLC6MQ | Telegram Bot | Exfiltration Telegram |
23 | bot7024022476:AAFClxu17D2YaSM8zOcRBkgmvgZ2horf6LU | Telegram Bot | Exfiltration Telegram |