Mã độc đánh cắp thông tin trong các bản vá khắc phục sự cố CrowdStrike giả

Mã độc đánh cắp thông tin trong các bản vá khắc phục sự cố CrowdStrike giả

Lợi dụng sự cố ảnh hưởng tới hơn 8.5 triệu máy tính Windows trên toàn thế giới trong thời gian vừa qua, các tin tặc đã lan truyền một loại mã độc đánh cắp thông tin mới thông qua các bản vá lỗi giả mạo. Mã độc này có khả năng thu thập thông tin credential, lịch sử tìm kiếm và cookie xác thực của người dùng được lưu trữ trên các trình duyệt web Chrome, Egde, Firefox và Cốc Cốc.

Phương thức lây lan

Mã độc đánh cắp thông tin Daoplu được phát hiện lây lan thông qua các email phishing. Những email này đính kèm tệp tin văn bản có tên "New_Recovery_Tool_to_help_with_CrowdStrike_issue_impacting_Windows. docm". Tệp tin văn bản này là bản sao chép từ thông báo của Microsoft về việc hãng cung cấp một công cụ khôi phục mới, giúp tự động xóa các driver bị lỗi của CrowdStrike khỏi các thiết bị Windows.

Tuy nhiên, tệp tin này chứa các macro tải xuống DLL độc hại được mã hóa Base64 và di chuyển DLL độc này tới thư mục %TMP%mscorsvc.dll. Lợi dụng Windows certutil để giải mã bản thân, DLL đã thành công triển khai mã độc trên máy nạn nhân.

Sau khi được cài đặt trên máy của nạn nhân, Daoplu thực hiện ngưng toàn bộ các tiến trình đang được chạy của Chrome và cố gắng thu thập mọi dữ liệu được lưu trữ trên Chrome, Edge, Firefox và một số các trình duyệt nhân Chromium khác.

Đáng chú ý, các nhà phân tích bảo mật của BleepingComputer đã tìm ra bằng chứng về việc mã độc này hướng mục tiêu tới người dùng tại Việt Nam và trình duyệt Cốc Cốc, đồng thời phỏng đoán rất có thể Việt Nam là nguồn gốc lây lan Daoplu.

Dữ liệu bị đánh cắp được lưu tạm thời trong %TMP%\result.txt và sẽ được tự động xóa sau khi dữ liệu được gửi tới máy chủ C2 (Command & Control) của tin tặc.

IOCs

Dưới đây thông tin IOC chi tiết các thành phần có liên quan đến Daoplu:

Mô tảIOC
Mã băm SHA256 của tệp tin văn bản Word803727ccdf441e49096f3fd48107a5fe55c56c080f46773cd649c9e55ec1be61
URL tải xuống macrohttp[:]//172.104.160[.]126:8099/payload2.txt
Mã băm SHA256 của DLL độc trước giải mã5eaf0f1c1d23f4372e24eb15ee969552c416a38dbc45e4f2b4af283e3bfb8721
Mã băm SHA256 của DLL độc sau giải mã4ad9845e691dd415420e0c253ba452772495c0b971f48294b54631e79a22644a
Mã băm SHA256 của Daoplu3a9323a939fbecbc6d0ceb5c1e1f3ebde91e9f186b46fdf3ba1aee03d1d41cd8
Máy chủ C2 của Daopluhttp[:]//172.104.160[.]126:5000/Uploadss

Khuyến nghị

Một số khuyến nghị đã được CrowdStrike đưa ra đối với người dùng, bao gồm:

  • Chỉ theo dõi các thông tin cập nhật, hướng dẫn sửa lỗi, tải xuống các bản vá từ kênh chính thức của CrowdStrike.

  • Kiểm tra phần certificates trên các trang web tải xuống để đảm bảo các phần mềm được tải xuống là phần mềm hợp lệ.

  • Nâng cao nhận thức người dùng, không cài đặt các phần mềm từ những nguồn không an toàn.

  • Thiết lập tính năng "download protection" trên trình duyệt nhằm tránh tải xuống các phần mềm nguy cơ gây mất an toàn.

  • Rà quét sự tồn tại của tệp tin result.txt trong thư mục %TMP% trên hệ thống.

Tham khảo

  1. Threat Actor Uses Fake CrowdStrike Recovery Manual to Deliver Unidentified Stealer: https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/

  2. Fake CrowdStrike repair manual pushes new infostealer malware: https://www.bleepingcomputer.com/news/security/fake-crowdstrike-repair-manual-pushes-new-daolpu-infostealer-malware/