Nguy cơ lộ lọt thông tin cá nhân NGHIÊM TRỌNG do các loại mã độc đánh cắp thông tin - Oski Malware

Trong quá trình giám sát trên Không gian mạng, VCS-TI liên tục phát hiện và thu thập một số lượng lớn dữ liệu dạng logs của nhiều loại mã độc đánh cắp thông tin phổ biến nhất hiện nay. Các tập dữ liệu này chứa thông tin của hơn 50 triệu người dùng trên khắp thế giới từ 1/2019 cho tới 6/2021. Nghiêm trọng hơn, thông tin của người dùng tại Việt Nam đăng nhập vào các hệ thống trọng yếu xuất hiện trong tập dữ liệu chiếm một số lượng không hề nhỏ đặc biệt là các hệ thống ngân hàng, chính phủ và truyền thông của cả nước. Vì vậy, VCS-TI cảnh báo về nguy cơ lộ lọt thông tin cá nhân nghiêm trọng đồng thời nâng cao nhận thức cho người dùng, giảm thiểu mức độ ảnh hưởng và đưa ra khuyến nghị từ các chuyên gia về việc phòng chống các loại mã độc nguy hiểm này.

H2: Mối nguy hại tới từ mã độc đánh cắp thông tin

Mã độc đánh cắp thông tin vẫn đang và sẽ tiếp tục là một trong những nguy cơ phổ biển nhất đối với người dùng khi sử dụng Internet. Đặc điểm chung của các loại phần mềm độc hại này được thiết kế riêng cho việc thu thập dữ liệu nhạy cảm của người dùng như thông tin xác thực cá nhân, tài khoản ngân hàng hay thông tin thẻ tín dụng.

Trong số đó, Oski Stealer, một loại Malware As a Service được VCS-TI phát hiện đang lây lan khá mạnh với số lượng bản ghi lộ lọt chỉ riêng trong một chiến dịch thu thập lên tới 20.000 tài khoản đăng nhập và hơn 1 triệu cookies.

##“VCS-TI đã thực hiện cảnh báo nguy cơ này tới các khách hàng thuộc Viettel chịu ảnh hưởng bởi nguy cơ lộ lọt thông tin nghiêm trọng. Mọi thông tin chi tiết, khách hàng vui lòng truy cập trang chủ của Viettel Threat Intelligence: cyberintel.io.”##

Trong bài viết lần này, VCS-TI sẽ tập trung phân tích mức độ ảnh hưởng và hậu quả của Oski Stealer đối với người dùng, khách hàng và các khuyến nghị của chuyên gia khi gặp với loại mã độc nguy hiểm trên.

I. Tổng quan chính

Oski Malware Lần đầu xuất hiện vào tháng 11/2019, Oski được giới thiệu trên các diễn đàn Underground về Hacking của Nga có giá bán từ 70-100$ với đầy đủ các tính năng của một loại mã độc đánh cắp thông tin.

H2: Bảng điều khiển chính của Oski Stealer

Cụ thể hơn, Oski nhắm trực tiếp và đánh cắp thông tin nhạy cảm cơ bản bao gồm: • Thông tin của hệ thống

• Thông tin đăng nhập/xác thực trên của trình duyệt

• Thông tin ví điện tử

• Ảnh chụp màn hình nạn nhân

• Các tập tin của nạn nhân

H3: Chi tiết các mục tiêu mà mã độc Oski thu thập

II. Sơ đồ hoạt động

H4. Sơ đồ hoạt động của mã độc Oski

Khi thực thi, Oski sẽ tải thêm 7 tập tin dll phục vụ cho từng giai đoạn đánh cắp chính trong đồng thời tạo một thư mục nhằm chứa các dữ liệu đánh cắp trong C:\ProgramData. Tên thư mục có định dạng

• C:\ProgramData\ [0–9]{15}.

Sau khi khởi tạo môi trường, Oski sẽ tiến hành đánh cắp các dữ liệu thông qua trình duyệt, registry và bộ nhớ. (Chi tiết trong mục chức năng chính)

Hoàn tất việc đánh cắp thông tin, Oski sẽ nén thư mục lại với tên có định dạng:

• CountryCode (ISO-3166-1-a-2)_Machine-ID_Date_Time.zip

(eg: VN_925554a8-b6f9-4aeb-a076-a304c691d1c6_28032021_23_51_27.zip) và gửi về qua C&C.

Cuối cùng, mã độc có thể tải về thêm một số mã độc khác hoặc thực thi câu lệnh /c /taskkill /pid  & erase  & RD /S /Q <working_folder>* & exit để thực hiện ngắt tiến trình và tự hủy dấu vết các thư mục đã tạo.

Ngoài ra, Oski được cấu tạo để hoạt động với các tính năng mở rộng như downloader, grabber và loader.

III. Chức năng chính

Oski được thiết lập với chức năng chính là đánh cắp dữ liệu có khả năng đánh cắp trên dưới 60 loại ứng dụng khác nhau trong đó bao gồm các loại trình duyệt, ứng dụng email và ví điện tử.

Bên trong bao gồm các thư mục con

• autofill - dữ liệu Autofill

• cc – dữ liệu thẻ tín dụng

• cookies – thông tin cookies

• crypto – dữ liệu ví điện tử

Và các tập tin:

• _desktop.zip & _docs.zip

• outlook.txt

• passwords.txt

• screenshot.jpg

• system.txt

H5. Thư mục làm việc của mã độc Oski
  1. Đánh cắp dữ liệu trên trình duyệt
H6. Các thông tin bị đánh cắp trên trình duyệt

Dữ liệu Oski đánh cắp bao gồm thông tin đăng nhập được lưu trên trình duyệt, cookies, thông tin thẻ tín dụng và dữ liệu autofill trên 4 loại trình duyệt khác nhau như Mozilla-based, Opera, Internet Explorer và các trình duyệt nhân Chromium thông qua đường dẫn tới các file chứa thông tin nhạy cảm:

H7. Mục tiêu của Oski nhắm tới các trình duyệt web.

Chromium

• C:\Users\ $Username\AppData\Local\Google\Chrome\User Data

Internet Explorer

• C:\Users\ $Username \AppData\Local\Microsoft\Edge\User Data\Default

• C:\Users\Threatslayer\AppData\Local\Microsoft\Credentials

• HKEY_CURRENT_USER\Software\Microsoft\Internet  Explorer\IntelliForms\Storage2

Mozilla

• C:\Users\Threatslayer\AppData\Roaming\Mozilla\Firefox\Profiles

Ngoài ra, Oski đã cập nhật kĩ thuật giải mã đối với các trình duyệt để bypass hoàn toàn phương pháp mã hóa thông tin xác thực và cookies được lưu trữ của các loại trình duyệt khác nhau.

Các dữ liệu sau khi thu thập được trích xuất ra tập tin passwords.txt và các tập tin trong thư mục cookies. /passwords.txt

/cookies.txt

2. Đánh cắp dữ liệu hệ thống

Thông tin Oski thu thập trên hệ thống bao gồm:

• Thông tin về hệ điều hành (Operating System)

• Thông tin về phần cứng (Hardware)

• Các phần mềm đã được cài đặt (Installed Software)

• Thời gian trên máy đích (Time)

• Địa chỉ mạng (Network)

H8. Chi tiết các thành phần là mục tiêu đánh cắp trên hệ thống

Đặc biệt, kí tự Softwrare sai chính tả, đây là một đặc điểm để phân biệt Oski với các loại mã độc khác.

Các dữ liệu về hệ thống này sau khi thu thập sẽ trích xuất ra tập tin system.txt.

Ngoài ra, các tập tin được lấy với mục đích thu thập các file 2FA, mật khẩu người dùng thường lưu bên ngoài các thư mục Documents, Desktop hoặc bất kỳ thư mục nào kẻ tấn công mong muốn.

H9. Một số thông tin nhạy cảm người dùng lưu dưới các file .txt

Dữ liệu sau khi thu thập sẽ được nén dưới dạng _desktops.zip, docs.zip,…

3. Đánh cắp tài khoản Outlook

Các thông tin nhạy cảm như mật khẩu hoặc thông tin về máy chủ IMAP, SMTP của các tài khoản kết nối với Outlook sẽ được Oski thu thập và giải mã các value từ registry với một số key như:

• HKCU\Software\Microsoft\Internet Account Manager\Accounts

• HKLM\Software\Microsoft\Office\Outlook\OMI

• HKCU\Software\Microsoft\Office\Outlook\OMI Account Manage

• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings

• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

• HKCU\Software\Microsoft\Office\19.0\Outlook\Profiles\Outlook

Nếu người dùng có sử dụng và kết nối tài khoản với MS Outlook, dữ liệu sẽ được trích xuất ra tập tin outlook.txt

4. Đánh cắp ví tiền điện tử

Oski thực hiện đánh cắp các tập tin nhạy cảm như wallet.dat chứa mã công khai và mã bí mật của 28 ứng dụng ví tiền điện tử phổ biến hiện nay.

Oski kiểm tra các thư mục này trong /AppData (C:\Users\user\AppData\Roaming) và sao chép về thư mục /crypto

H10. Thư mục /crypto/Bitcoin/ chứa wallet.dat mà VCS-TI thu thập được

IV. PHÂN TÍCH DỮ LIỆU

Để hình dung rõ hơn về nguy cơ ảnh hưởng của mã độc Oski đối với người dùng, VCS-TI sẽ thực hiện phân tích tập dữ liệu về một chiến dịch nổi bật của loại mã độc này được thu thập được trên Deep/Dark Web:

Rõ ràng đây là những con số khá lớn của một chiến dịch xảy ra chỉ trong vòng một tháng và phần lớn các máy bị ảnh hưởng đều đến từ một nguyên nhân chung: mã độc đánh cắp thông tin nằm trong vỏ bọc của các phần mềm không rõ nguồn gốc.

Phương thức lây nhiễm

Kẻ tấn công chuẩn bị một số lượng lớn các trang web trên để tải về các phần mềm chứa mã độc Oski. Các trang web này được thiết kế chuẩn SEO bằng các plugin hỗ trợ nhằm xuất hiện trong top đầu các kết quả tìm kiếm trên Google tại nhiều quốc gia.

H11. Các trang web được thiết kế chuẩn SEO, kết quả luôn xuất hiện trên các top đầu.

Khi nạn thực hiện tải xuống, các trang web này sẽ redirect sang nhiều host lưu trữ mã độc khác để tải về:

H12. IP 54.211.166[.]69 lưu trữ mã độc
H13. IP 3.208.26[.]195 lưu trữ mã độc
H14. IP 3.81.209[.]129 lưu trữ mã độc

Sau khi tải về, tập tin chứa mã độc thực thi có dạng:

• %number%_Main-AppInstall

• %number%_PASSWORDFILE

• Main-AppInstall.exe

H15. File nén chứa mã độc
H16. File thực thi chứa mã độc

Tuy nhiên tới thời điểm hiện tại, các IP lưu trữ đã không còn hoạt động, các trang web trên thay đổi một loạt các IP kèm nhiều chủng mã độc khác Raccoon Vidar Stealer với các dấu hiệu giống với các chiến dịch trước.

V. Dữ liệu ghi nhận trong chiến dịch.

H19. Hình ảnh mô tả số lượng các bản ghi mà VCS-TI thu thập được trong chiến dịch vừa qua
H20. Bảng phân bố các quốc gia bị ảnh hưởng trên toàn cầu dựa theo số lượng bản ghi

Bảng thống kê sơ bộ về số lượng các dịch vụ bị ảnh hưởng

VI. IOCs

• piratesfile[.]com

• turboc[.]me/download-turbo-c-file/

• tntapk[.]com

• productscrack[.]com

• piratepc[.]me

• download[.]freedownloadmanager[.]org

• 3.208.26[.]195

• 54.68.123[.]44

• 54.211.166[.]69

• 3.81.209[.]129

• 13.58.197[.]89

Bằng một số phương pháp OSINT, VCS-TI phát hiện thêm nhiều nhóm website phát tán cùng loại mã độc như:

VII. Yara Rule

VIII. Khuyến cáo

Việc lộ lọt thông tin như trên ảnh hưởng nghiêm trọng tới thương hiệu và uy tín của các bên chịu ảnh hưởng. Kẻ xấu có thể lợi dụng các thông tin này để nhằm thực hiện một số hành vi trái phép như:

• Trực tiếp làm thất thoát tài sản của cá nhân bị lộ lọt.

• Lợi dụng nhằm thu thập trái phép các thông tin nhạy cảm của nạn nhân bên trong hệ thống.

• Thực hiện các hành vi rao bán thông tin cá nhân trên không gian mạng để trục lợi.

Khuyến cáo được đưa ra để giảm thiểu rủi ro đến từ mã độc Oski như sau:

• Không/hạn chế tải về các phần mềm crack, các phần mềm không rõ nguồn gốc tiềm ẩn nguy cơ xuất hiện tràn lan trên không gian mạng.

• Hạn chế sử dụng tính năng lưu mật khẩu trên trình duyệt để giảm thiểu rủi ro bị lộ lọt thông tin.

• Không lưu các dữ liệu quan trọng trong các file text ngoài thư mục Desktop, Documents,.. ( Hình 9 ). Thay vào đó hãy sử dụng một số phần mềm có tính năng lưu mật khẩu tương tự như KeyPass hoặc AnyPassword,…

• Đổi mật khẩu thường xuyên (3 tháng 1 lần) để ngăn ngừa rủi ro xảy ra.

• Bật tính năng xác thực đa yếu tố cho tài khoản đăng nhập.

• Hạn chế sử dụng lại mật khẩu trên nhiều nền tảng khác nhau. Kẻ tấn công có thể dễ dàng dò quét ra các dịch vụ mà người dùng sử dụng khác và tấn công Brute Force bằng các mật khẩu đã bị lộ lọt.

• Trong trường hợp không may bị nhiễm mã độc hoặc nghi ngờ bị nhiễm mã độc:

o Cập nhật, cài đặt đầy đủ bản thông tin mới nhất về chiến dịch này cho giải pháp về ATTT (VD: Anti-virus, EDR…)

o Dựa vào dấu hiệu nhận biết mã độc để loang và tìm kiếm những máy bị nhiễm.

IX. Phụ lục

Phụ lục 1: Mô tả ví dụ về tập tin bị lộ lọt:

Phụ lục 2: MITRE ATT&CK

H21. Các kĩ thuật được sử dụng trong bài viết.

Tác giả: Nhóm Viettel Threat Intelligence (VCS-TI)