DeerStealer, mã độc nguy hiểm phát tán qua shortcut .LNK và công cụ LOLBin, đe dọa hệ thống Windows

Vũ Nhật LâmVũ Nhật Lâm
4 min read

Mở đầu

Một chiến dịch lừa đảo tinh vi mới đã được phát hiện, sử dụng các tệp shortcut .LNK độc hại để phát tán mã độc DeerStealer bằng cách khai thác các tệp nhị phân hợp pháp trên Windows – một kỹ thuật được biết đến với tên gọi Living off the Land (LOLBin).

Mã độc này ngụy trang dưới dạng một tài liệu PDF hợp pháp có tên Report.lnk, nhưng thực chất kích hoạt một chuỗi tấn công nhiều giai đoạn phức tạp, trong đó có việc sử dụng mshta.exe – công cụ thực thi ứng dụng HTML chính chủ của Microsoft.

Cuộc tấn công này đánh dấu một bước tiến đáng lo ngại trong các phương thức phát tán mã độc hiện đại, khi kẻ tấn công tận dụng chính công cụ của Microsoft để né tránh các biện pháp phòng vệ truyền thống.

Cách thức khai thác

Tệp .LNK độc hại kích hoạt một chuỗi thực thi được dàn dựng cẩn thận, lần lượt thông qua nhiều thành phần hợp pháp của hệ điều hành trước khi triển khai payload mã độc DeerStealer.

Các nhà phân tích và chuyên gia trên LinkedIn đánh giá chiến dịch này là mối đe dọa đáng quan ngại, do mức độ tinh vi trong các kỹ thuật né tránh, cũng như việc lợi dụng kỹ thuật T1218.005 trong khung MITRE ATT&CK – kỹ thuật liên quan đến việc sử dụng mshta.exe cho mục đích độc hại.

Ngoài ra, các chuyên gia còn chỉ ra rằng việc tận dụng giải quyết đường dẫn động (dynamic path resolution) kết hợp với câu lệnh bị làm rối (obfuscated command execution) cho thấy sự gia tăng rõ rệt về mức độ tinh vi của mã độc trong chiến dịch này.

Chuỗi lây nhiễm của DeerStealer tuân theo một trình tự thực thi chính xác gồm năm giai đoạn: .lnk → mshta.exe → cmd.exe → PowerShell → DeerStealer

Ngay từ giai đoạn đầu, tệp .LNK được thiết kế để âm thầm gọi thực thi mshta.exe, nhằm khởi chạy các đoạn script bị làm rối nặng (heavily obfuscated), đồng thời sử dụng wildcard path nhằm né tránh các hệ thống phòng thủ dựa trên dấu hiệu (signature-based detection).

Mã độc thực hiện giải quyết đường dẫn động đến tệp mshta.exe bên trong thư mục System32, sau đó khởi chạy tiến trình này với các tham số đặc biệt kèm theo chuỗi Base64 đã được làm rối nhằm che giấu hành vi thực thi.

Trong quá trình hoạt động, mã độc vô hiệu hóa toàn bộ cơ chế ghi log và profiling, qua đó làm giảm đáng kể khả năng phân tích và phát hiện sau sự cố.

Một cơ chế giải mã ký tự tinh vi được triển khai: các ký tự được xử lý theo từng cặp, chuyển đổi từ mã thập lục phân (hex) sang ASCII, sau đó được lắp ráp lại thành script có thể thực thi thông qua lệnh IEX (Invoke-Expression) của PowerShell.
Kỹ thuật này giúp ẩn toàn bộ logic độc hại cho đến thời điểm runtime, qua mặt các công cụ phân tích tĩnh truyền thống.

Giai đoạn cuối cùng trong chuỗi tấn công bao gồm:

  • Giải mã động URL từ các mảng đã bị làm rối,

  • Tải đồng thời một tài liệu PDF giả mạo nhằm đánh lạc hướng nạn nhân,

  • Cài đặt tệp thực thi chính vào thư mục AppData, nơi thường bị bỏ qua bởi các công cụ giám sát thông thường.

Tài liệu PDF giả sẽ được mở bằng Adobe Acrobat để tạo cảm giác hợp lệ, trong khi đó mã độc âm thầm thiết lập cơ chế duy trì tồn tại (persistence) trong hệ thống.

Khuyến nghị

Để phòng tránh cuộc tấn công phức tạp trên, phía FPT Threat Intelligence đưa ra các khuyến nghị sau:

  • Không mở các file không rõ nguồn gốc, nâng cao nhận thức người dùng.

  • Giám sát và phát hiện bất thường trong Scheduled Tasks, Defender exclusions. Có thể sử dụng SIEM/EDR để phát hiện các bất thường nhanh chóng.

  • Cập nhật IOC mã độc để ngăn chặn kịp thời các hành vi độc hại.

  • Sử dụng hệ thống sandbox hoặc môi trường ảo hóa để phân tích các file khả nghi trước khi mở trên máy thật.

IOC

  • https[:]//tripplefury[.]com/

  • fd5a2f9eed065c5767d5323b8dd928ef8724ea2edeba3e4c83e211edf9ff0160

  • 8f49254064d534459b7ec60bf4e21f75284fbabfaea511268c478e15f1ed0db9

Tham khảo

0
Subscribe to my newsletter

Read articles from Vũ Nhật Lâm directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

Vũ Nhật Lâm
Vũ Nhật Lâm