Trò mới của malware TrickBot: Làm treo trình duyệt của nhà nghiên cứu để tránh bị phân tích

Malware khét tiếng TrickBot vừa được bổ sung các tính năng mới khiến việc nghiên cứu, phân tích và phát hiện trong các biến thể mới trở nên khó khăn hơn. Một trong những tính năng mới ấn tượng nhất chính là khả năng làm treo tab trình duyệt khi phát hiện các script làm đẹp code.

Kể từ năm 2016 đến nay, TrickBot luôn là malware gây ra nhiều thiệt hại nhất. Nó liên tục được bổ sung những tính năng mới và được tối ưu hóa, cài tiến khác nhau. Ngoài ra, nó còn có thể tạo điều kiện thuận lợi cho việc triển khai các chủng malware và ransomware khác.

Do có thiết kế dạng mô-đun nên TrickBot dễ dàng thực hiện nhiều hoạt động phá hoại khác nhau, bao gồm cả tấn công man-in-the-browser nhằm lấy cắp thông tin đăng nhập ngân hàng, đánh căp cơ sở dữ liệu thư mục hoạt động, lây lan qua mạng, trích xuất dữ liệu...

Ngoài vai trò là một trojan ngân hàng, TrickBot còn được dùng để triển khai các payload độc hại nhờ sự hiệu quả và khả năng hoạt động lén lút của nó.

Gần đây, TrickBot có liên quan tới băng đảng ransomware Diavol, ransomware Conti và thậm chì có vai trò trong sự quay trở lại mã độc Emotet.

Các nhà nghiên cứu tại IBM Trusteer đã phân tích các mẫu malware TrickBot mới nhất để xem tính năng chống phân tích vừa mới được thêm vào và kết quả thu được khá thú vị.

Không hoan nghênh các nhà nghiên cứu

Đầu tiên, những kẻ phát triển TrickBot sử dụng nhiều lớp mã hóa xáo trộn và base64 cho các tập lệnh. Xáo trộn code là chuyện bình thường trong thế giới mã độc. Tuy nhiên, do TrickBot có quá nhiều lớp và nhiều bộ phận nên việc phân tích thường diễn ra chậm, cồng kềnh và kết quả thu được không thuyết phục.

Thứ hai, khi tiêm các tập lệnh độc hại vào trang web để đánh cắp thông tin đăng nhập, quá trình tiêm nhiễm này không không liên quan đến tài nguyên cục bộ mà chỉ dựa vào máy chủ của các tác nhân. Do đó, các nhà phân tích không thể lấy mẫu từ bộ nhớ của máy bị nhiễm.

TrickBot giao tiếp với máy chủ lệnh và điều khiển (C2) bằng giao thức HTTPS, hỗ trợ trao đổi dữ liệu được mã hóa.

Ngoài ra, các yêu cầu tiêm nhiễm bao gồm các thông số gắn cờ các nguồn không xác định vì vậy các nhà phân tích không thể lấy mẫu từ C2 bằng cách sử dụng endpoint chưa được đăng ký.

Nhờ thu thập dấu vân tay của thiết bị, kẻ điều hành TrickBot có thể đưa một tập lệnh tùy chỉnh vào trình duyệt của mỗi nạn nhân, nhắm mục tiêu một ngân hàng cụ thể và thuyết phục hệ thống của ngân hàng rằng họ đang tương tác với khách hàng.

Cuối cùng, TrickBot có một tập lệnh chống gỡ lỗi (debugging) trong mã JS giúp nó dự đoán được khi nào nó đang bị phân tích và gây ra tình trạng quá tải bộ nhớ làm hỏng trang.

Trước đây, TrickBot phát hiện xem nó có đang bị phân tích hay không bằng cách kiểm tra độ phân giải màn hình của máy. Nhưng bây giờ nó còn có khả năng tìm kiếm các dấu hình "làm đẹp code".

Làm đẹp code là việc chuyển đổi code đang bị xáo trộn hoặc văn bản không được đóng gói thành nội dung dễ đọc hơn bằng mắt người và do vậy dễ dàng tìm kiếm các đoạn code thú vị bên trong nó.

Các biến thể TrickBot gần đây sử dụng những biểu thức chính quy để phát hiện khi nào một trong các script được chèn vào của nó bị làm đẹp code, tương ứng với việc một nhà nghiên cứu bảo mật đang tiến hành phân tích.

Nếu phát hiện ra việc làm đẹp code, TrickBot sẽ làm treo trình duyệt để ngăn chặn việc phân tích.

Làm thế nào để giữ an toàn trước TrickBot?

TrickBot thường tấn công mục tiêu qua email lừa đả có chứa tệp đính kèm độc hại với khả năng chạy macro để tải xuống và cài đặt mã độc.

Ngoài việc xử lý các email được gửi tới một cách thận trọng, bạn cũng nên bật xác thực đa yếu tố trên các tài khoản của mình và thường xuyên kiểm tra nhật ký đăng nhập để phát hiện dấu hiệu bất thường sớm nhất.

Do TrickBot thường xuyên kết thúc cuộc tấn công bằng cách cài ransomware nên bạn cũng cần thường xuyên sao lưu ngoại tuyến hệ thống của mình nhằm ngăn chặn các mối đe dọa tiềm ẩn.