CyberThao
Writer
Nhóm tin tặc TA558 vừa bị phát hiện tiến hành hàng loạt cuộc tấn công nhắm vào khách sạn tại Brazil và các quốc gia nói tiếng Tây Ban Nha. Các chuyên gia từ Kaspersky xác định hoạt động này thuộc cụm RevengeHotels, vốn đã tồn tại ít nhất từ năm 2015 và chuyên nhắm vào lĩnh vực khách sạn, du lịch, lữ hành tại Mỹ Latinh.
Theo báo cáo, kẻ tấn công sử dụng email lừa đảo với nội dung giả mạo hóa đơn hoặc đơn đặt phòng. Các email này chứa liên kết hoặc tệp đính kèm dẫn đến việc tải xuống mã độc Venom RAT thông qua các tập lệnh JavaScript và PowerShell. Đáng chú ý, nhiều đoạn mã trong chiến dịch lần này dường như được sinh ra bởi mô hình ngôn ngữ lớn (LLM), thể hiện qua cách chú thích và định dạng đặc trưng.
Các phiên bản trước đây của RevengeHotels thường dùng tệp Word, Excel hoặc PDF chứa mã khai thác lỗ hổng Microsoft Office (CVE-2017-0199) để cài Revenge RAT, NjRAT, NanoCoreRAT, 888 RAT và phần mềm độc hại ProCC. Về sau, nhiều loại RAT khác cũng được nhóm này sử dụng, như Agent Tesla, AsyncRAT, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger hay Vjw0rm.
Mục tiêu chính là đánh cắp dữ liệu thẻ tín dụng từ khách lưu trú hoặc từ các đại lý du lịch trực tuyến (OTA) phổ biến như Booking.com.
Trong chiến dịch mới, email lừa đảo được viết bằng tiếng Bồ Đào Nha và Tây Ban Nha, giả danh yêu cầu đặt phòng hoặc gửi hồ sơ xin việc. Khi nạn nhân nhấp vào liên kết, tệp JavaScript WScript sẽ tải xuống tập lệnh PowerShell. PowerShell tiếp tục tải một tệp có tên "cargajecerrr.txt", trong đó chứa trình tải về Venom RAT.
Venom RAT được phát triển dựa trên Quasar RAT mã nguồn mở, bán với giá 650 USD (~15,8 triệu VNĐ) cho giấy phép trọn đời hoặc 350 USD (~8,5 triệu VNĐ) cho gói thuê một tháng kèm các tính năng HVNC và Stealer.
Phần mềm độc hại này có thể đánh cắp dữ liệu, hoạt động như proxy ngược và đặc biệt có cơ chế chống bị tắt. Nó thay đổi quyền truy cập tiến trình (DACL) để ngăn bị chặn, đồng thời chấm dứt bất kỳ tiến trình nào được cho là công cụ giám sát hoặc phân tích.
Ngoài ra, Venom RAT liên tục quét tiến trình cứ mỗi 50 mili giây, nhằm phát hiện và chấm dứt các công cụ phân tích của chuyên gia bảo mật. Nó cũng:
Theo báo cáo, kẻ tấn công sử dụng email lừa đảo với nội dung giả mạo hóa đơn hoặc đơn đặt phòng. Các email này chứa liên kết hoặc tệp đính kèm dẫn đến việc tải xuống mã độc Venom RAT thông qua các tập lệnh JavaScript và PowerShell. Đáng chú ý, nhiều đoạn mã trong chiến dịch lần này dường như được sinh ra bởi mô hình ngôn ngữ lớn (LLM), thể hiện qua cách chú thích và định dạng đặc trưng.
Chiến dịch lừa đảo tinh vi nhắm vào dữ liệu thẻ tín dụng
Các phiên bản trước đây của RevengeHotels thường dùng tệp Word, Excel hoặc PDF chứa mã khai thác lỗ hổng Microsoft Office (CVE-2017-0199) để cài Revenge RAT, NjRAT, NanoCoreRAT, 888 RAT và phần mềm độc hại ProCC. Về sau, nhiều loại RAT khác cũng được nhóm này sử dụng, như Agent Tesla, AsyncRAT, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger hay Vjw0rm.
Mục tiêu chính là đánh cắp dữ liệu thẻ tín dụng từ khách lưu trú hoặc từ các đại lý du lịch trực tuyến (OTA) phổ biến như Booking.com.
Trong chiến dịch mới, email lừa đảo được viết bằng tiếng Bồ Đào Nha và Tây Ban Nha, giả danh yêu cầu đặt phòng hoặc gửi hồ sơ xin việc. Khi nạn nhân nhấp vào liên kết, tệp JavaScript WScript sẽ tải xuống tập lệnh PowerShell. PowerShell tiếp tục tải một tệp có tên "cargajecerrr.txt", trong đó chứa trình tải về Venom RAT.
Venom RAT – công cụ nguy hiểm với khả năng chống bị tắt
Venom RAT được phát triển dựa trên Quasar RAT mã nguồn mở, bán với giá 650 USD (~15,8 triệu VNĐ) cho giấy phép trọn đời hoặc 350 USD (~8,5 triệu VNĐ) cho gói thuê một tháng kèm các tính năng HVNC và Stealer.
Phần mềm độc hại này có thể đánh cắp dữ liệu, hoạt động như proxy ngược và đặc biệt có cơ chế chống bị tắt. Nó thay đổi quyền truy cập tiến trình (DACL) để ngăn bị chặn, đồng thời chấm dứt bất kỳ tiến trình nào được cho là công cụ giám sát hoặc phân tích.
Ngoài ra, Venom RAT liên tục quét tiến trình cứ mỗi 50 mili giây, nhằm phát hiện và chấm dứt các công cụ phân tích của chuyên gia bảo mật. Nó cũng:
- Thiết lập cơ chế tự khởi động lại nếu bị gỡ bỏ.
- Khi chạy với quyền cao, nó bật SeDebugPrivilege, tự đánh dấu là tiến trình hệ thống quan trọng để tránh bị kết thúc.
- Ngăn máy tính chuyển sang chế độ ngủ, giữ màn hình luôn bật.
- Có khả năng lây lan qua USB, vô hiệu hóa Microsoft Defender Antivirus, can thiệp Task Scheduler và Registry để vô hiệu hóa các biện pháp bảo vệ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview