Phát tán mã độc thông qua các repository phishing từ hơn 3000 tài khoản Github.

Phát tán mã độc thông qua các repository phishing từ hơn 3000 tài khoản Github.

Những nhà nghiên cứu bảo mật thuộc Check Point Research vừa qua đã phát hiện một mạng lưới phân phối các liên kết độc hại trên Github. Dưới cái tên Stargazers Ghost Network, mạng lưới này hoạt động như một dịch vụ phân phối, phát tán mã độc tới người dùng thông qua các repository phishing. Bằng cách cho các tài khoản Github "ma" gắn dấu sao (starring), ưa thích & theo dõi (subcribing) và tạo nhánh (forking) trên các repository này, tin tặc đã khiến chúng trở thành những kho lưu trữ hợp lệ, nhận được sự tín nhiệm lớn trong cộng đồng.

Thông tin chi tiết

Trong một báo cáo gần đây được đưa ra từ các nhà nghiên cứu bảo mật thuộc Check Point Research, một mạng lưới gồm hơn 3000 "tài khoản ma" trên Github đang tham gia vào hoạt động phát tán lượng lớn các mã độc đánh cắp thông tin như RedLine, Lumma Stealer, Rhadamanthys, RisePro, Atlantida Stealer... cùng những liên kết độc hại khác thông qua những repository phishing.

Theo các nhà nghiên cứu, Stargazer Goblin được cho là đứng sau vận hành mạng lưới Stargazers Ghost Network, hơn 3000 "tài khoản ma" trong hệ thống này được phân chia rõ ràng theo các nhóm với role tương ứng từng nhiệm vụ riêng biệt như nhóm phụ trách tạo các mẫu phishing, nhóm phụ trách đóng giả người dùng chia sẻ trải nghiệm sử dụng, một nhóm khác phụ trách phân phối mã độc... Các #tagname kích thích truy cập như tiền điện tử, phương tiện truyền thông trên mạng xã hội và phương thức hack/cheat trò chơi là những cạm bẫy được giăng ra nhằm thu hút nạn nhân.

Stargazers Ghost Network duy trì tính hợp lệ của chúng bằng cách cho các tài khoản ma thực hiện gắn dấu sao (starring), ưa thích & theo dõi (subcribing) và tạo nhánh (forking) trên các repository phishing, biến những kho lưu trữ này đạt được tín nhiệm lớn từ người dùng. Mặt khác, việc lợi dụng Github làm phương tiện phát tán giúp mạng lưới này dễ dàng thu hút số lượng lớn nạn nhân truy cập vào các liên kết chứa mã độc, do tâm lý thiếu đề phòng nguy cơ gây mất an toàn thông tin khi chạy các tệp tin thực thi từ những nguồn lớn và uy tín.

Mặt khác, việc phân bổ role cho các "tài khoản ma" giúp giảm thiểu tối đa thiệt hại có thể tác động lên mạng lưới nếu phía Github có hành động chặn những repository vi phạm quy định.

Attack Chain

Các nhà nghiên cứu của Check Point Research đã đưa ra mô phỏng chuỗi tấn công trong trường hợp phát tán mã độc đánh cắp thông tin Atlantida Stealer. Những liên kết độc từ Github có thể được phát tán thông qua Discord, Twitch,... chuỗi tấn công sử dụng các script độc được lưu trữ trên những website Wordpress bị xâm phạm. Nạn nhân trực tiếp được chuyển hướng tới các trang tải xuống từ website này ngay sau khi nhận và truy cập tới liên kết Github trên. Đoạn payload VBscript tiến hành thực thi hai tập lệnh PowerShell liên tiếp, từ đó triển khai mã độc Atlantida Stealer trên máy của nạn nhân.

Mặt khác, trong chiến dịch phát tán mã độc Rhadamanthys, các template phishing nhắm mục tiêu tới một số người dùng cụ thể. Theo phát hiện của Check Point, các tin tặc đã nhắm mục tiêu đến các nhà nghiên cứu bảo mật khi đặt tên có tựa đề "RisePro Stealer + HVNC Crack: The Ultimate Cybersecurity Threat". Một mặt, chúng cung cấp công cụ để bẻ khoá phiên bản mã độc đánh cắp thông tin RisePro, mặt còn lại chúng chèn vào đó một Go downloader có khả năng tải xuống và triển khai mã độc Rhadamanthys.

Tổng kết và Khuyến nghị

Các chiến dịch phân phối mã độc và các liên kết độc hại thực hiện bởi Stargazers Ghost Network thời gian qua được đánh giá vô cùng thành công. Chỉ trong thời gian ngắn, hàng ngàn nạn nhân đã cài đặt phần mềm từ những đường dẫn Github repository độc hại, khiến giá trị thiệt hại mà mạng lưới này gây ra ước tính lên tới 100.000 đô la.

Phía đội ngũ FPT Threat Intelligence khuyến nghị người dùng đề cao cảnh giác trước bất kỳ các nội dung nào có trên Github bởi từ lâu đây được coi là thiên đường cho các hoạt động phát tán mã độc của các tin tặc. Một số điều cần thiết nên thực hiện phía Check Point Research đưa ra là:

  • Luôn cập nhật hệ điều hành và ứng dụng thông qua các bản vá lỗi kịp thời hoặc các phương tiện hợp lệ.
  • Cảnh giác trước những email, tin nhắn gửi đến chứa các liên kết đính kèm, đặc biệt được gửi từ các nguồn không xác định.
  • Nâng cao nhận thức cá nhân về an toàn trên không gian mạng.
  • Tham khảo ý kiến các chuyên gia bảo mật về bất kỳ sự nghi ngờ hoặc không chắc chắn nào trước các vấn đề có thể dẫn tới sự cố an toàn thông tin.

Tham khảo