Duy Linh
Writer
Một chiến dịch phát tán trojan ngân hàng Lampion do nhóm tội phạm mạng Brazil thực hiện đã được ghi nhận hoạt động kéo dài ít nhất từ tháng 6/2024, trong khi mẫu đầu tiên bị phát hiện từ năm 2019. Chiến dịch này cho thấy mức độ tinh vi cao, kết hợp kỹ thuật xã hội nâng cao và chuỗi lây nhiễm nhiều giai đoạn để tránh bị phát hiện, đồng thời duy trì khả năng tồn tại trên hệ thống nạn nhân, đặc biệt nhắm vào các ngân hàng Bồ Đào Nha.
Kẻ đánh cắp Lampion tái xuất với cuộc tấn công ClickFix để đánh cắp thông tin đăng nhập của người dùng một cách lén lút
Diễn biến và phương thức tấn công
Nhóm tội phạm liên tục điều chỉnh chiến thuật. Theo các nhà nghiên cứu, có ba thay đổi lớn gần đây: vào giữa tháng 9/2024, chúng chuyển từ gửi tệp ZIP qua liên kết trực tiếp sang đính kèm ZIP trong email, nhằm loại bỏ URL bên ngoài và tăng độ tin cậy; đến giữa tháng 12/2024, chúng áp dụng chiêu ClickFix lừa nạn nhân dán lệnh độc hại vào hộp thoại Run của Windows; và đến cuối tháng 6/2025, nhóm triển khai cơ chế duy trì mới ngay trong giai đoạn tải trọng ban đầu.
Email lừa đảo sử dụng nội dung liên quan đến chủ đề ngân hàng như biên lai chuyển khoản, xác nhận thanh toán, được gửi từ các tài khoản email bị xâm phạm. Điều này cho thấy kẻ tấn công có quyền truy cập hộp thư hợp pháp của tổ chức trước khi phát động chiến dịch. Tiêu đề email thường có dạng “Biên lai chuyển khoản theo sau” hoặc “Biên lai thanh toán và chứng từ theo sau”, kèm dấu thời gian và số chứng từ để tăng độ tin cậy. Các nhà nghiên cứu cũng phát hiện mồi nhử ClickFix và việc sử dụng tài khoản email hợp pháp trong giai đoạn lây nhiễm.
Dòng thời gian với các sự kiện chính được quan sát.
Kiến trúc lây nhiễm và biến thể Lampion mới
Chuỗi lây nhiễm của Lampion gồm nhiều giai đoạn tập lệnh Visual Basic được che giấu kỹ, mỗi giai đoạn có nhiệm vụ và cơ sở hạ tầng riêng. Giai đoạn đầu phân phối qua tệp ZIP chứa HTML lừa đảo, có cơ chế duy trì bằng cách tạo tác vụ theo lịch và sao chép vào thư mục Khởi động Windows. Giai đoạn này sử dụng kỹ thuật làm phồng tập lệnh để mở rộng tệp 35KB lên 3–5MB bằng dữ liệu rác và chuỗi bị làm tối nghĩa.
Sơ đồ cho email, tệp đính kèm, HTML và ZIP.
Giai đoạn thứ hai tải xuống thành phần VBS cuối cùng từ các thùng lưu trữ đám mây bị chuyển hướng, trong khi giai đoạn thứ ba xử lý việc phân phối tải trọng thực tế. Giai đoạn cuối cùng xóa dấu vết của các giai đoạn trước, thiết lập tính bền bỉ qua tệp CMD trong thư mục Khởi động và kết nối với máy chủ chỉ huy điều khiển (C2) để nhận DLL Lampion. Giai đoạn ba còn dừng tất cả tiến trình của trình duyệt như Edge, Firefox, Opera, Chrome và Brave, ngăn người dùng truy cập các trang web ngân hàng ngoài môi trường bị kiểm soát.
Lampion stealer hiện phát triển thành tệp DLL duy nhất khoảng 700MB, chứa hai tệp ZIP được mã hóa trong phần tài nguyên, khác biệt so với các phiên bản trước vốn phân phối nhiều tệp riêng lẻ. Kích thước lớn này nhằm vượt qua giới hạn gửi tệp trên nền tảng phân tích tự động, gây khó khăn cho việc phát hiện.
Đầu ra của Detect it Easy (DiE) cho DLL.
Phần mềm độc hại này giao tiếp với cơ sở hạ tầng C2 được mã hóa cứng, gửi dữ liệu từ xa gồm mã định danh máy, thông tin hệ điều hành, tình trạng phần mềm diệt virus và số sê-ri phần cứng. Lampion còn được bảo vệ bằng VMProtect, cho phép ảo hóa, đột biến mã và chống gỡ lỗi, khiến quá trình phân tích đảo ngược phức tạp hơn. Nhóm tội phạm duy trì hạ tầng phân tán, sử dụng nhiều dịch vụ đám mây, VPS và web hosting, kèm danh sách đen IP để ngăn nhà nghiên cứu truy cập, đồng thời chuyển hướng tới các kho lưu trữ hợp pháp nhằm kiểm soát việc phát tán tải trọng.
Tính bền bỉ, khả năng thích ứng chiến thuật và độ tinh vi trong hoạt động cho thấy đây là nhóm đe dọa có nguồn lực mạnh, chuyên nhắm vào các mục tiêu nói tiếng Bồ Đào Nha. Việc tận dụng tài khoản email hợp pháp, mồi nhử ClickFix, chuỗi lây nhiễm nhiều giai đoạn và DLL dung lượng lớn khẳng định chiến dịch Lampion đang ngày càng khó bị phát hiện và ngăn chặn.
Đọc chi tiết tại đây: https://gbhackers.com/lampion-stealer/
Kẻ đánh cắp Lampion tái xuất với cuộc tấn công ClickFix để đánh cắp thông tin đăng nhập của người dùng một cách lén lút
Diễn biến và phương thức tấn công
Nhóm tội phạm liên tục điều chỉnh chiến thuật. Theo các nhà nghiên cứu, có ba thay đổi lớn gần đây: vào giữa tháng 9/2024, chúng chuyển từ gửi tệp ZIP qua liên kết trực tiếp sang đính kèm ZIP trong email, nhằm loại bỏ URL bên ngoài và tăng độ tin cậy; đến giữa tháng 12/2024, chúng áp dụng chiêu ClickFix lừa nạn nhân dán lệnh độc hại vào hộp thoại Run của Windows; và đến cuối tháng 6/2025, nhóm triển khai cơ chế duy trì mới ngay trong giai đoạn tải trọng ban đầu.
Email lừa đảo sử dụng nội dung liên quan đến chủ đề ngân hàng như biên lai chuyển khoản, xác nhận thanh toán, được gửi từ các tài khoản email bị xâm phạm. Điều này cho thấy kẻ tấn công có quyền truy cập hộp thư hợp pháp của tổ chức trước khi phát động chiến dịch. Tiêu đề email thường có dạng “Biên lai chuyển khoản theo sau” hoặc “Biên lai thanh toán và chứng từ theo sau”, kèm dấu thời gian và số chứng từ để tăng độ tin cậy. Các nhà nghiên cứu cũng phát hiện mồi nhử ClickFix và việc sử dụng tài khoản email hợp pháp trong giai đoạn lây nhiễm.
Dòng thời gian với các sự kiện chính được quan sát.
Kiến trúc lây nhiễm và biến thể Lampion mới
Chuỗi lây nhiễm của Lampion gồm nhiều giai đoạn tập lệnh Visual Basic được che giấu kỹ, mỗi giai đoạn có nhiệm vụ và cơ sở hạ tầng riêng. Giai đoạn đầu phân phối qua tệp ZIP chứa HTML lừa đảo, có cơ chế duy trì bằng cách tạo tác vụ theo lịch và sao chép vào thư mục Khởi động Windows. Giai đoạn này sử dụng kỹ thuật làm phồng tập lệnh để mở rộng tệp 35KB lên 3–5MB bằng dữ liệu rác và chuỗi bị làm tối nghĩa.
Sơ đồ cho email, tệp đính kèm, HTML và ZIP.
Giai đoạn thứ hai tải xuống thành phần VBS cuối cùng từ các thùng lưu trữ đám mây bị chuyển hướng, trong khi giai đoạn thứ ba xử lý việc phân phối tải trọng thực tế. Giai đoạn cuối cùng xóa dấu vết của các giai đoạn trước, thiết lập tính bền bỉ qua tệp CMD trong thư mục Khởi động và kết nối với máy chủ chỉ huy điều khiển (C2) để nhận DLL Lampion. Giai đoạn ba còn dừng tất cả tiến trình của trình duyệt như Edge, Firefox, Opera, Chrome và Brave, ngăn người dùng truy cập các trang web ngân hàng ngoài môi trường bị kiểm soát.
Lampion stealer hiện phát triển thành tệp DLL duy nhất khoảng 700MB, chứa hai tệp ZIP được mã hóa trong phần tài nguyên, khác biệt so với các phiên bản trước vốn phân phối nhiều tệp riêng lẻ. Kích thước lớn này nhằm vượt qua giới hạn gửi tệp trên nền tảng phân tích tự động, gây khó khăn cho việc phát hiện.
Đầu ra của Detect it Easy (DiE) cho DLL.
Phần mềm độc hại này giao tiếp với cơ sở hạ tầng C2 được mã hóa cứng, gửi dữ liệu từ xa gồm mã định danh máy, thông tin hệ điều hành, tình trạng phần mềm diệt virus và số sê-ri phần cứng. Lampion còn được bảo vệ bằng VMProtect, cho phép ảo hóa, đột biến mã và chống gỡ lỗi, khiến quá trình phân tích đảo ngược phức tạp hơn. Nhóm tội phạm duy trì hạ tầng phân tán, sử dụng nhiều dịch vụ đám mây, VPS và web hosting, kèm danh sách đen IP để ngăn nhà nghiên cứu truy cập, đồng thời chuyển hướng tới các kho lưu trữ hợp pháp nhằm kiểm soát việc phát tán tải trọng.
Tính bền bỉ, khả năng thích ứng chiến thuật và độ tinh vi trong hoạt động cho thấy đây là nhóm đe dọa có nguồn lực mạnh, chuyên nhắm vào các mục tiêu nói tiếng Bồ Đào Nha. Việc tận dụng tài khoản email hợp pháp, mồi nhử ClickFix, chuỗi lây nhiễm nhiều giai đoạn và DLL dung lượng lớn khẳng định chiến dịch Lampion đang ngày càng khó bị phát hiện và ngăn chặn.
Đọc chi tiết tại đây: https://gbhackers.com/lampion-stealer/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Đính kèm
Sửa lần cuối: