Lợi dụng sự cố ảnh hưởng tới hơn 8.5 triệu máy tính Windows trên toàn thế giới trong thời gian vừa qua, các tin tặc đã lan truyền một loại mã độc đánh cắp thông tin mới thông qua các bản vá lỗi giả mạo. Mã độc này có khả năng thu thập thông tin credential, lịch sử tìm kiếm và cookie xác thực của người dùng được lưu trữ trên các trình duyệt web Chrome, Egde, Firefox và Cốc Cốc.
Phương thức lây lan
Mã độc đánh cắp thông tin Daoplu được phát hiện lây lan thông qua các email phishing. Những email này đính kèm tệp tin văn bản có tên "New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows. docm". Tệp tin văn bản này là bản sao chép từ thông báo của Microsoft về việc hãng cung cấp một công cụ khôi phục mới, giúp tự động xóa các driver bị lỗi của CrowdStrike khỏi các thiết bị Windows.
Tuy nhiên, tệp tin này chứa các macro tải xuống DLL độc hại được mã hóa Base64 và di chuyển DLL độc này tới thư mục %TMP%mscorsvc.dll
. Lợi dụng Windows certutil để giải mã bản thân, DLL đã thành công triển khai mã độc trên máy nạn nhân.
Sau khi được cài đặt trên máy của nạn nhân, Daoplu thực hiện ngưng toàn bộ các tiến trình đang được chạy của Chrome và cố gắng thu thập mọi dữ liệu được lưu trữ trên Chrome, Edge, Firefox và một số các trình duyệt nhân Chromium khác.
Đáng chú ý, các nhà phân tích bảo mật của BleepingComputer đã tìm ra bằng chứng về việc mã độc này hướng mục tiêu tới người dùng tại Việt Nam và trình duyệt Cốc Cốc, đồng thời phỏng đoán rất có thể Việt Nam là nguồn gốc lây lan Daoplu.
Dữ liệu bị đánh cắp được lưu tạm thời trong %TMP%\result.txt
và sẽ được tự động xóa sau khi dữ liệu được gửi tới máy chủ C2 (Command & Control) của tin tặc.
IOCs
Dưới đây thông tin IOC chi tiết các thành phần có liên quan đến Daoplu:
Mô tả | IOC |
Mã băm SHA256 của tệp tin văn bản Word | 803727ccdf441e49096f3fd48107a5fe55c56c080f46773cd649c9e55ec1be61 |
URL tải xuống macro | http[:]//172.104.160[.]126:8099/payload2.txt |
Mã băm SHA256 của DLL độc trước giải mã | 5eaf0f1c1d23f4372e24eb15ee969552c416a38dbc45e4f2b4af283e3bfb8721 |
Mã băm SHA256 của DLL độc sau giải mã | 4ad9845e691dd415420e0c253ba452772495c0b971f48294b54631e79a22644a |
Mã băm SHA256 của Daoplu | 3a9323a939fbecbc6d0ceb5c1e1f3ebde91e9f186b46fdf3ba1aee03d1d41cd8 |
Máy chủ C2 của Daoplu | http[:]//172.104.160[.]126:5000/Uploadss |
Khuyến nghị
Một số khuyến nghị đã được CrowdStrike đưa ra đối với người dùng, bao gồm:
Chỉ theo dõi các thông tin cập nhật, hướng dẫn sửa lỗi, tải xuống các bản vá từ kênh chính thức của CrowdStrike.
Kiểm tra phần certificates trên các trang web tải xuống để đảm bảo các phần mềm được tải xuống là phần mềm hợp lệ.
Nâng cao nhận thức người dùng, không cài đặt các phần mềm từ những nguồn không an toàn.
Thiết lập tính năng "download protection" trên trình duyệt nhằm tránh tải xuống các phần mềm nguy cơ gây mất an toàn.
Rà quét sự tồn tại của tệp tin
result.txt
trong thư mục%TMP%
trên hệ thống.
Tham khảo
Threat Actor Uses Fake CrowdStrike Recovery Manual to Deliver Unidentified Stealer: https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/
Fake CrowdStrike repair manual pushes new infostealer malware: https://www.bleepingcomputer.com/news/security/fake-crowdstrike-repair-manual-pushes-new-daolpu-infostealer-malware/