Tin tặc phát tán mã độc Remcos qua tệp .pif và kỹ thuật vượt qua UAC trên Windows

Một chiến dịch lừa đảo tinh vi mới xuất hiện, đang phát tán mã độc Remcos Remote Access Trojan (RAT) thông qua phần mềm độc hại DBatLoader.

Theo phân tích từ môi trường kiểm thử của ANY.RUN, chuỗi tấn công này sử dụng nhiều kỹ thuật nhằm tránh bị phát hiện, bao gồm: vượt kiểm soát tài khoản người dùng (UAC bypass), làm rối (obfuscation), lợi dụng các công cụ sẵn có trong hệ điều hành (LOLBAS – Living Off the Land Binaries and Scripts) và cơ chế duy trì sự tồn tại (persistence) trên hệ thống.

Cuộc tấn công bắt đầu bằng một email lừa đảo chứa tập tin nén, bên trong có một tệp thực thi độc hại tên là “FAKTURA”. Khi người dùng mở tệp này, nó sẽ kích hoạt DBatLoader, đóng vai trò tải và triển khai các bước tiếp theo của mã độc trên hệ thống Windows.

Một điểm đặc biệt nguy hiểm của chiến dịch này là việc lợi dụng các tệp .pif (Program Information File) – loại tệp vốn được dùng trong các phiên bản Windows cũ để cấu hình chương trình DOS. Mặc dù không còn được sử dụng hợp pháp trong các hệ điều hành hiện nay, các tệp .pif vẫn có thể thực thi được, cho phép tin tặc ngụy trang mã độc và thực thi nó mà không làm xuất hiện các cảnh báo bảo mật thông thường.

Kỹ thuật vượt UAC và tránh bị phát hiện

Phân tích sâu hơn cơ chế tấn công, DBatLoader lợi dụng các tệp .pif như “alpha.pif” (thực chất là tệp thực thi dạng Portable Executable) để vượt qua cơ chế kiểm soát tài khoản người dùng (UAC).

Cụ thể, nó tạo ra các thư mục đánh lừa hệ thống, ví dụ như “C:\Windows ” – lưu ý khoảng trắng ở cuối đường dẫn. Điều này giúp mã độc khiến Windows hiểu nhầm vị trí thực thi, từ đó qua mặt các biện pháp bảo mật và thực hiện các hành vi độc hại mà không cần sự cho phép của người dùng.

Theo báo cáo từ Any.Run, kỹ thuật tinh vi trong cách xử lý tên thư mục của Windows giúp mã độc giành được quyền cao (elevated privileges) một cách âm thầm, không gây nghi ngờ.

Chiến dịch tấn công còn sử dụng nhiều chiến thuật né tránh khác, chẳng hạn như dùng PING.EXE để gửi ping tới địa chỉ nội bộ 127.0.0.1 nhiều lần. Thao tác này tạo ra độ trễ nhân tạo nhằm đánh lừa các hệ thống phát hiện dựa trên thời gian. Trong một số trường hợp, kỹ thuật này còn được dùng để dò tìm hệ thống từ xa.

Ngoài ra, tệp độc hại “svchost.pif” còn kích hoạt một script thông qua “NEO.cmd”. Script này sử dụng công cụ extrac32.exe nhằm thêm các thư mục chứa mã độc vào danh sách loại trừ (exclusion list) của Windows Defender, giúp mã độc ẩn mình dễ dàng hơn.

Để duy trì khả năng tồn tại sau khi hệ thống khởi động lại, mã độc thiết lập một tác vụ theo lịch (Scheduled Task) để kích hoạt tệp “Cmwdnsyn.url”. Tệp này tiếp tục khởi chạy một dropper .pif, đảm bảo chuỗi tấn công tiếp tục được duy trì lâu dài.

Payload cuối cùng – Remcos RAT – được triển khai thông qua các script .cmd bị làm rối bằng công cụ như BatCloak, khiến việc phân tích trở nên khó khăn hơn.

Sau khi được cài vào hệ thống, Remcos sẽ tự chèn mã độc của mình vào các tiến trình tin cậy như SndVol.exe (trình điều khiển âm lượng) hoặc colorcpl.exe (trình quản lý màu sắc), giúp mã độc hòa lẫn vào hệ thống và tránh bị phát hiện.

Chủ động phát hiện mã độc trong môi trường mô phỏng ảo (Virtual Sandbox)

Các biện pháp phòng thủ truyền thống dựa trên chữ ký (signature-based) thường không hiệu quả trước các cuộc tấn công nhiều giai đoạn, vốn sử dụng kỹ thuật làm rối mã (obfuscation) và công cụ gốc của hệ thống để ẩn mình.

Các chuyên gia bảo mật khuyến nghị nên chủ động phân tích (detonation) các tệp nghi ngờ trong môi trường ảo an toàn, chẳng hạn như hộp cát tương tác của ANY.RUN, nơi hỗ trợ đa nền tảng bao gồm Windows, Android và Linux.

Bằng cách cách ly các tệp và URL nghi ngờ trong môi trường ảo, nền tảng này giúp ngăn chặn rủi ro đối với hạ tầng doanh nghiệp, đồng thời cho phép các chuyên gia tương tác thủ công với mối đe dọa để thu thập thông tin chuyên sâu.

Các nhà phân tích có thể theo dõi các đường dẫn tệp bất thường, giám sát tiến trình lạ, phân tích kết nối mạng và cuối cùng là tạo báo cáo chi tiết với các chỉ báo xâm nhập (IOCs) nhằm tăng cường khả năng bảo vệ điểm cuối.

Phương pháp này không chỉ nâng cao tỷ lệ phát hiện mà còn thúc đẩy sự phối hợp nhóm thông qua các cấp quyền truy cập linh hoạt và khả năng theo dõi năng suất, giúp tiết kiệm chi phí và giảm thiểu thiệt hại tài chính do các mối đe dọa kéo dài gây ra.

Khi các chiến dịch lừa đảo ngày càng tinh vi, việc sử dụng các công cụ hộp cát tiên tiến như vậy trở nên thiết yếu để đón đầu các đối thủ lợi dụng định dạng tệp bị lãng quên và các lỗ hổng trong hệ thống.

Khuyến nghị

Để phòng tránh cuộc tấn công phức tạp trên, phía FPT Threat Intelligence đưa ra các khuyến nghị sau:

• Không mở các file không rõ nguồn gốc. Cẩn trọng với các file định dạng lạ như “.pif, .cmd, .bat…

• Giám sát và phát hiện bất thường trong Scheduled Tasks, Defender exclusions. Có thể sử dụng SIEM/EDR để phát hiện các bất thường nhanh chóng.

• Sử dụng hệ thống sandbox hoặc môi trường ảo hóa để phân tích các file khả nghi trước khi mở trên máy thật.

Tham khảo

• https://gbhackers.com/hackers-deliver-remcos-malware-via-pif-files/

• https://cybersecuritynews.com/hackers-use-pif-files-and-uac-bypass/

• https://vnreview.vn/threads/hacker-loi-dung-file-pif-va-vuot-qua-uac-de-len-cai-remcos-rat-vao-may-nan-nhan.64126/