1. Điểm tin An toàn thông tin

1. Tiện ích ChatGPT giả mạo chiếm quyền điều khiển tài khoản Facebook để phát tán quảng cáo độc hại

Một tiện ích (extension) trình duyệt Chrome giả mạo thương hiệu ChatGPT mới được phát hiện có khả năng chiếm quyền điều khiển tài khoản Facebook và tạo tài khoản quản trị giả mạo, đây cũng là một trong những phương pháp thường xuyên được tin tặc sử dụng để phát tán phần mềm độc hại.

Nhà nghiên cứu Nati Tal của Guardio Labs cho biết rằng: “Bằng cách chiếm quyền điều khiển các tài khoản thương mại (business account) nổi tiếng trên Facebook, tác nhân đe dọa tạo ra một nhóm gồm các bot Facebook và một công cụ truyền thông trả phí độc hại”. "Điều này cho phép nó hiển thị các quảng cáo mất phí trên Facebook bằng tiền của nạn nhân".

Tiện ích giả mạo "Truy cập nhanh vào Chat GPT", được cho là đã thu hút khoảng 2.000 lượt cài đặt mỗi ngày kể từ ngày 3 tháng 3 năm 2023, đã bị Google xóa bỏ khỏi Cửa hàng Chrome kể từ ngày 9 tháng 3 năm 2023.

Tiện ích này được quảng bá thông qua các bài đăng Facebook, mặc dù có cung cấp khả năng kết nối với dịch vụ ChatGPT, nhưng nó còn được thiết kế để lén lút thu thập cookie và dữ liệu tài khoản Facebook.

Điều này đạt được bằng cách sử dụng hai ứng dụng Facebook giả mạo, portal và msg_kig, để duy trì quyền truy cập cho backdoor và có toàn quyền kiểm soát các hồ sơ mục tiêu. Quá trình thêm ứng dụng vào tài khoản Facebook được thực hiện hoàn toàn tự động.

Các tài khoản thương mại Facebook bị tấn công sau đó được sử dụng để quảng cáo phần mềm độc hại, do đó giúp mở rộng hiệu quả quy mô nhóm bot Facebook.

Sự việc diễn ra khi các tác nhân đe dọa đang lợi dụng sự phổ biến rộng rãi của ChatGPT của OpenAI kể từ khi nó được phát hành vào cuối năm ngoái để tạo ra các phiên bản giả mạo của chatbot trí tuệ nhân tạo (AI) và lừa người dùng cài đặt chúng.

Tháng trước, Cyble đã tiết lộ một chiến dịch social engineering dựa trên trang giả mạo trang web chính thức của ChatGPT để lừa người dùng đến các trang độc hại và tải xuống các phần mềm đánh cắp thông tin, như RedLine, Lumma, và Aurora.

Cũng được phát hiện là các ứng dụng ChatGPT giả mạo được phát tán qua Cửa hàng Google Play và các cửa hàng ứng dụng Android của bên thứ ba khác để lây nhiễm mã độc SpyNote vào thiết bị của nạn nhân.

Tuần trước, Bitdefender đã cảnh báo rằng: “Sự phổ biến của công cụ AI đã thu hút sự chú ý của những kẻ lừa đảo sử dụng công nghệ này để thực hiện các vụ lừa đảo tinh vi nhằm vào những người dùng internet thiếu cảnh giác”.

Để tránh trở thành nạn nhân của chiêu trò lừa đảo và các chiến dịch độc hại như vậy, người dùng nên kiểm tra cẩn thận trước khi truy cập vào bất kỳ đường link nào cũng như chỉ cài đặt ứng dụng từ những nguồn đáng tin cậy, đồng thời thường xuyên sử dụng công cụ quét virus để sớm phát hiện và loại bỏ các phần mềm độc hại trên thiết bị của mình.

2. APT Sharp Panda sử dụng Soul Framework để nhắm mục tiêu các chính phủ Đông Nam Á

Các tổ chức chính phủ cấp cao ở Đông Nam Á đang bị nhắm mục tiêu bởi chiến dịch gián điệp mạng do một tác nhân đe dọa có tên là Sharp Panda thực hiện kể từ cuối năm ngoái.

Các cuộc xâm nhập được đặc trưng với việc sử dụng phiên bản mới của Soul framework, đánh dấu sự khác biệt so với các cuộc tấn công trước đây của nhóm được phát hiện vào năm 2021.

Công ty bảo mật Check Point của Israel cho biết hoạt động trước đây của nhóm tập trung nhắm mục tiêu đến các quốc gia Đông Nam Á như Việt Nam, Thái Lan và Indonesia. Sharp Panda lần đầu tiên được công ty báo cáo vào tháng 6 năm 2021.

Việc sử dụng backdoor Soul đã được Symantec của Broadcom báo cáo vào tháng 10 năm 2021 liên quan đến một hoạt động gián điệp chưa xác định nhắm vào các lĩnh vực quốc phòng, y tế và CNTT-TT ở Đông Nam Á.

Theo Fortinet FortiGuard Labs, phần mềm độc hại đã có từ tháng 10 năm 2017,  được xây dựng bằng cách tái sử dụng mã nguồn của trojan Gh0st và các công cụ có sẵn công khai khác.

Check Point cho biết rằng chuỗi tấn công bắt đầu bằng một email lừa đảo có chứa tài liệu nhử sử dụng tệp văn bản có định dạng RTF của Royal Road để lây nhiễm một công cụ tải xuống (downloader) bằng cách khai thác một lỗ hổng trong Microsoft Equation Editor.

Downloader được thiết kế để truy xuất đến một loader khác, SoulSearcher, từ máy chủ điều khiển tấn công (C2). Máy chủ này chỉ phản hồi các yêu cầu (request) bắt nguồn từ các địa chỉ IP tương ứng với các quốc gia bị nhắm mục tiêu.

SoulSearcher chịu trách nhiệm tải xuống, giải mã và thực thi backdoor Soul và các thành phần bổ sung khác, cho phép kẻ tấn công thu thập nhiều loại thông tin.

"Cấu hình backdoor chứa tính năng ‘radio silence’, các tác nhân đe dọa có thể thông qua nó để chỉ định khoảng thời gian backdoor không được phép giao tiếp với máy chủ C2".

Những phát hiện này là một dấu hiệu khác cho thấy việc chia sẻ công cụ phổ biến giữa các nhóm đe dọa APT để tạo điều kiện cho việc thu thập thông tin tình báo.

Công ty cho biết: “Mặc dù Soul framework đã được sử dụng ít nhất từ ​​năm 2017, nhưng những kẻ đe dọa đằng sau nó đã liên tục cập nhật và điều chỉnh kiến ​​trúc cũng như khả năng của nó”.

Công ty lưu ý thêm rằng chiến dịch có khả năng "được dàn dựng bởi các tác nhân đe dọa nâng cao, với các công cụ, khả năng và vị trí chưa được biết đến trong mạng lưới hoạt động gián điệp rộng lớn".

3. Phát hiện các video hướng dẫn trên YouTube được tạo bởi AI đang phát tán mã độc

Ngày càng nhiều tác nhân đe dọa sử dụng các Video YouTube do AI tạo ra để phát tán các phần mềm độc hại đánh cắp thông tin (stealer malware) như Raccoon, RedLine và Vidar.

Nhà nghiên cứu Pavan Karthick M của CloudSEK cho biết "các video thu hút người dùng với nội dung giả vờ là hướng dẫn tải xuống các phiên bản bẻ khóa (crack) của các phần mềm như Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD và các sản phẩm trả phí khác".

Phần mềm độc hại được các tác nhân đe dọa phát tán theo nhiều cách khác nhau. Một trong những kênh phát tán phổ biến là YouTube, CloudSEK đã ghi nhận mức tăng 200-300% hàng tháng đối với các video chứa liên kết đến phần mềm độc hại đánh cắp trong phần mô tả.

Các liên kết này thường được che dấu bằng cách sử dụng các công cụ rút ngắn URL như Bitly và Cuttly hoặc được lưu trữ trên MediaFire, Google Drive, Discord, GitHub và Telegra.ph của Telegram.

Trong một số trường hợp, những kẻ đe dọa lạm dụng dữ liệu bị lộ và social engineering để chiếm quyền điều khiển các tài khoản YouTube hợp pháp và phát tán phần mềm độc hại, thường nhắm vào các tài khoản phổ biến để tiếp cận lượng lớn khán giả trong một khoảng thời gian ngắn.

Karthick giải thích rằng việc tải lên từ các tài khoản này sẽ làm tăng sự tin tưởng của các video. "Tuy nhiên, những Youtuber là chủ tài khoản sẽ báo cáo kẻ chiếm đoạt tài khoản của họ với YouTube và lấy lại quyền truy cập vào tài khoản trong vòng vài giờ. Nhưng trong thời gian đó, hàng trăm người dùng có thể trở thành nạn nhân".

Đáng lo ngại hơn, có từ 5 đến 10 video về hướng dẫn tải phần mềm crack được tải lên nền tảng video mỗi giờ, với việc các tác nhân đe dọa sử dụng các kỹ thuật SEO poisoning để làm cho các video độc hại xuất hiện ở đầu danh sách kết quả tìm kiếm.

Các nhà nghiên cứu cũng phát hiện ra những kẻ đe dọa đã thêm các bình luận giả mạo vào các video đã tải lên để lôi kéo người dùng tải xuống phần mềm bẻ khóa.

Sự phát triển diễn ra trong bối cảnh các biến thể phần mềm đánh cắp thông tin mới, có khả năng đánh cắp dữ liệu nhạy cảm, như SYS01stealer, S1deload, Stealc, Titan, ImBetter, WhiteSnake, và Lumma được rao bán dưới vỏ bọc của các ứng dụng và dịch vụ phổ biến.

Trước đó, các nhà nghiên cứu cũng phát hiện ra một công cụ có sẵn có tên R3NIN Sniffer có thể cho phép các tác nhân đe dọa lấy cắp dữ liệu thẻ thanh toán từ các trang web thương mại điện tử bị xâm nhập.

Để giảm thiểu rủi ro do mã độc đánh cắp gây ra, người dùng nên bật xác thực đa yếu tố, không nhấp vào các liên kết không xác định và tránh tải xuống hoặc sử dụng phần mềm vi phạm bản quyền.

2. Tin kỹ thuật

1. Mã khai thác cho lỗ hổng Microsoft Word RCE nghiêm trọng đã được phát hành

Một mã khai thác cho CVE-2023-21716, một lỗ hổng nghiêm trọng (điểm CVSS: 9,8 trên 10) trong Microsoft Word cho phép thực thi mã từ xa.

Microsoft đã khắc phục lỗ hổng trong bản cập nhật Patch Tuesday vào tháng 2 đồng thời đưa ra một số giải pháp thay thế khác để khắc phụ lỗ hổng.

Lỗ hổng nghiêm trọng chủ yếu do độ phức tạp của cuộc tấn công thấp cùng với việc khai thác nó không yêu cầu đặc quyền và sự tương tác của người dùng.

Năm ngoái, nhà nghiên cứu bảo mật Joshua Drake đã phát hiện ra lỗ hổng trong “wwlib.dll” của Microsoft Office và báo cáo cho Microsoft kèm theo mã khai thác (PoC) cho thấy khả năng lỗ hổng có thể khai thác được.

Kẻ tấn công có khả năng lợi dụng lỗ hổng để thực thi mã với quyền như nạn nhân mở tài liệu .RTF độc hại. Tệp này có thể được gửi cho nạn nhân thông qua email hoặc bằng nhiều cách khác.

Microsoft lưu ý rằng người dùng không cần phải mở tài liệu RTF độc hại mà chỉ cần tải tệp trong Ngăn xem trước (Preview Pane) là có thể đã bị xâm phạm.

Nhà nghiên cứu giải thích rằng chương trình phân tích cú pháp RTF trong Microsoft Word có một lỗi bộ nhớ (heap corruption) xảy ra “khi xử lý một bảng phông chữ (*\fonttbl*) chứa quá nhiều các phông chữ (*\f###*).” Kẻ đe dọa có thể lợi dụng lỗi này để thực thi mã tùy ý.

PoC từ nhà nghiên cứu cho thấy sự cố hỏng bộ nhớ nhưng không thể khởi chạy được ứng dụng máy tính (Calculator) trong (MotW) bật lên để nhắc người dùng thận trọng khi mở tệp từ Internet.

CVE-2023-24880 bị khai thác trong thực tế đã được Nhóm phân tích mối đe dọa của Google (TAG) phát hiện và báo cáo với Microsoft vào ngày 15 tháng 2.

Google TAG cho biết "đã phát hiện hơn 100.000 lượt tải xuống các tệp MSI độc hại kể từ tháng 1 năm 2023, với hơn 80% là người dùng ở Châu Âu - một điểm khác biệt đáng chú ý so với các mục tiêu thông thường của Magniber, thường tập trung vào Hàn Quốc và Đài Loan".

Magniber, được kế thừa từ ransomware Cerber, đã hoạt động ít nhất từ tháng 10 năm 2017 và được phát tán thông qua các quảng cáo độc hại bằng cách sử dụng công cụ khai thác Magnitude.

Mặc dù ban đầu tập trung nhắm mục tiêu vào Hàn Quốc, nhóm này hiện đã mở rộng phạm vi tấn công sang toàn thế giới, bao gồm Trung Quốc, Đài Loan, Malaysia, Hồng Kông, Singapore và Châu Âu.

Magniber đã hoạt động khá thường xuyên kể từ đầu năm, với hàng trăm mẫu đã được phát hiện và gửi lên nền tảng phân tích ID Ransomware.

​CVE-2023-24880 là một biến thể của một lỗ hổng bỏ qua (bypass) tính năng bảo mật