Các nhóm tin tặc được nhà nước Nga hậu thuẫn đang nâng cao kỹ năng tấn công mạng của mình bằng cách sử dụng các biến thể mã độc mới, ẩn mình sau các bài kiểm tra CAPTCHA giả. Nhóm tin tặc có tên Star Blizzard hoặc ColdRiver đang sử dụng các cuộc tấn công ClickFix để lừa người dùng, khiến họ tải xuống mã độc nguy hiểm dưới vỏ bọc là một bài kiểm tra đơn giản để xác nhận “Tôi không phải robot”.
Những cuộc tấn công này đại diện cho một làn sóng lừa đảo mạng mới, nhắm vào các cơ quan chính phủ, nhà báo và các tổ chức phi chính phủ (NGO) bằng mã độc liên tục biến đổi, khiến các nhà nghiên cứu khó lòng phân tích kịp thời.
Theo nhóm Nghiên cứu về Mối đe dọa của Google (GTIG), ban đầu các tin tặc đã sử dụng mã độc LostKeys trong các chiến dịch gián điệp. Sau khi bị phát hiện, nhóm này nhanh chóng chuyển đổi, từ bỏ LostKeys trong vòng một tuần và triển khai các công cụ mới như NoRobot, YesRobot và MaybeRobot.
Chiêu thức ClickFix hoạt động như sau: người dùng truy cập vào một trang CAPTCHA giả mạo, trông giống hệt trang thật. Khi họ nhấp vào để chứng minh mình là người, hệ thống sẽ âm thầm chạy NoRobot, lây nhiễm vào máy tính và thiết lập khả năng tồn tại bằng cách sửa đổi registry và tạo các tác vụ định kỳ.
NoRobot là giai đoạn lây nhiễm đầu tiên, nó chuẩn bị môi trường bằng cách tải xuống các tệp, sửa đổi các khóa registry và tạo các tác vụ để đảm bảo mã độc luôn hoạt động ngay cả sau khi khởi động lại. YesRobot, một loại mã độc dựa trên Python, đã được thử nghiệm nhưng nhanh chóng bị loại bỏ vì việc cài đặt Python đầy đủ thu hút sự chú ý không mong muốn từ các nhà phòng thủ mạng.
MaybeRobot, thay thế YesRobot, là một công cụ tinh vi hơn dựa trên PowerShell. Nó có thể tải xuống và thực thi các tải trọng, chạy các dòng lệnh và gửi dữ liệu đánh cắp trở lại cho kẻ tấn công. Các nhà nghiên cứu cho biết MaybeRobot đã ổn định, cho phép tin tặc tập trung vào việc cải thiện khả năng ẩn mình của NoRobot.
Chuỗi phân phối mã độc này đã thay đổi nhiều lần. Có lúc nó trở nên “đơn giản hóa đáng kể”, sau đó lại phức tạp hóa khi kẻ tấn công bắt đầu chia khóa mã hóa thành nhiều tệp, khiến việc giải mã tải trọng cuối cùng trở nên khó khăn hơn.
Các hoạt động của ColdRiver đã được liên kết với cơ quan tình báo Nga (FSB), với nhiều năm tập trung vào gián điệp và đánh cắp dữ liệu, nhắm mục tiêu vào các chính phủ phương Tây, các viện nghiên cứu, tổ chức truyền thông và NGO.
Bất chấp các lệnh trừng phạt, các chiến dịch triệt phá hạ tầng và việc bị phơi bày công khai, các tin tặc vẫn tiếp tục phát triển. Việc chuyển đổi nhanh chóng từ LostKeys sang NoRobot và MaybeRobot cho thấy một hoạt động có tổ chức cao, được tài trợ tốt và có khả năng tái cấu trúc trong vòng vài ngày.
Các nhà phân tích an ninh mạng cảnh báo rằng tin tặc Nga hiện đang sử dụng các bẫy CAPTCHA thực tế để phát tán các biến thể mã độc “Robot” mới. Ngay cả khi bạn không phải là mục tiêu của chính phủ hay doanh nghiệp, những cuộc tấn công ngày càng tinh vi này là lời nhắc nhở rằng bất kỳ ai kết nối internet đều có mức độ rủi ro nhất định.
Để phòng tránh, người dùng nên cẩn trọng với các thách thức CAPTCHA bất ngờ, sử dụng phần mềm diệt virus mạnh mẽ có khả năng phát hiện hành vi đáng ngờ, cân nhắc sử dụng dịch vụ loại bỏ dữ liệu để giảm thiểu phơi nhiễm, luôn cập nhật phần mềm và hệ điều hành, sử dụng xác thực đa yếu tố (MFA) và sao lưu dữ liệu thường xuyên.
Theo Fox News.
