Chiến dịch mã độc CRPx0 sử dụng mồi nhử tài khoản OnlyFans miễn phí để tấn công đa nền tảng

Chiến dịch mã độc CRPx0 sử dụng mồi nhử tài khoản OnlyFans miễn phí để tấn công đa nền tảng

CRPx0 là một chiến dịch mã độc phức tạp, lén lút và có khả năng duy trì sự tồn tại (persistence) cao trên hệ thống bị nhiễm. Hiện tại, mối đe dọa này đang nhắm vào các hệ điều hành macOS và Windows, đồng thời có dấu hiệu cho thấy các tính năng tấn công Linux đang được phát triển. Chiến dịch này bao gồm các giai đoạn từ đánh cắp tiền điện tử, trích xuất dữ liệu quy mô lớn cho đến triển khai mã độc tống tiền (ransomware).

Mã độc CRPx0

Chiến dịch đã được Aryaka Threat Research Labs phân tích chi tiết. Điểm khởi đầu của cuộc tấn công này là một kỹ thuật kỹ thuật xã hội (social engineering) khá điển hình nhưng hiệu quả: lời mời chào tài khoản OnlyFans miễn phí.

Mồi nhử kỹ thuật xã hội

Những người dùng muốn truy cập miễn phí vào OnlyFans thường chủ động tìm kiếm các phương án khả dụng và có thể tình cờ gặp phải tệp OnlyfansAccounts.zip do các tác giả đe dọa tung ra. Bằng cách tìm kiếm quyền truy cập miễn phí trái phép vào nội dung trả phí, những người dùng này đã bộc lộ sự sẵn lòng chấp nhận rủi ro và các hoạt động không chính thống. Do đó, họ sẽ dễ dàng tải xuống tệp nén này hơn và chấp nhận rằng việc có được tài khoản miễn phí có thể yêu cầu một số thao tác bất thường.

Tệp nén độc hại chứa một tệp lối tắt (Onlyfans Accounts.lnk), trông giống như một bước tiếp theo hợp lý trong việc theo đuổi mục đích không chính thống của người dùng. Đối với những người chấp nhận rủi ro, dường như không có lý do gì để không tiếp tục.

Tệp .lnk này sẽ cung cấp một tệp dường như chứa thông tin đăng nhập tài khoản như hứa hẹn. Tệp được đặt tên là Accounts.txt, với tiêu đề "50 working Onlyfans account" và liệt kê những gì trông giống như thông tin đăng nhập hợp lệ. Tuy nhiên, trong khi người dùng đang đọc danh sách giả này, mã độc bắt đầu được cài đặt ngầm.

Ba giai đoạn tấn công chính

Các tác giả đe dọa duy trì quyền kiểm soát thông qua máy chủ chỉ huy và điều khiển (C2), trong khi mã độc thu thập dữ liệu môi trường và thiết lập sự tồn tại bền vững. Mã độc thậm chí còn định kỳ kết nối về máy chủ chủ để kiểm tra phiên bản mới hơn của chính nó và tự động cập nhật khi cần thiết.

Chiến dịch CRPx0 gây ra ba tác động chính: đánh cắp tiền điện tử, trích xuất dữ liệu và phát tán ransomware.

1. Đánh cắp tiền điện tử

Việc đánh cắp tiền điện tử được thực hiện bằng cách liên tục giám sát bộ nhớ tạm (clipboard) của hệ thống. Nếu nạn nhân sao chép một địa chỉ ví (khi gửi hoặc nhận tiền), hành động này sẽ bị phát hiện và địa chỉ đó sẽ bị thay thế bằng địa chỉ do kẻ tấn công kiểm soát.

Ví dụ, nếu người dùng sao chép địa chỉ ví của mình để gửi cho người trả tiền (để nhận tiền điện tử), họ vô tình chỉ đạo người gửi chuyển tiền vào ví của kẻ tấn công.

2. Trích xuất dữ liệu

Giai đoạn thứ hai là trích xuất dữ liệu - phần đầu của quy trình tống tiền kép (double extortion). Dữ liệu cần đánh cắp được chọn bởi kẻ tấn công thông qua máy chủ C2. Nó sẽ tương ứng với dữ liệu người dùng mà sau đó sẽ bị mã hóa - chẳng hạn như tài liệu, phương tiện và hình ảnh, email, tệp của nhà phát triển và mã nguồn, cũng như các tệp kỹ thuật và thiết kế.

3. Mã hóa tống tiền

Sau khi dữ liệu bị đánh cắp, kẻ tấn công chuyển sang giai đoạn mã hóa. "Khi mã độc nhận được lệnh 'mã hóa', nó sẽ tải xuống payload crypter.py từ máy chủ từ xa và lưu cục bộ", phân tích giải thích.

Một khóa duy nhất được tạo ra bằng cơ chế Fernet cho mã hóa AES và gửi về C2. Các tệp mục tiêu sẽ được đọc, mã hóa và lưu với phần mở rộng .crpx0. Các thư mục hệ thống cụ thể và các thư mục quan trọng bị loại trừ để đảm bảo hệ thống vẫn ổn định bất chấp việc bị ransomware tấn công.

Hình nền máy tính để bàn sẽ bị thay thế bằng hình ảnh "gotcha" của kẻ tấn công, và các ghi chú hướng dẫn thanh toán chuộc sẽ được thả ra bằng tiếng Anh, tiếng Nga và tiếng Trung. Nạn nhân được hướng dẫn liên hệ với kẻ tấn công qua nhiều kênh khác nhau (bao gồm email, qTox và Telegram).

Quy mô và thiệt hại

Chiến dịch này duy trì một trang web rò rỉ dữ liệu riêng. Tại thời điểm viết bài, trang này tuyên bố có 38 nạn nhân bị xâm phạm, với 23 dữ liệu bị rò rỉ sẵn có. Nó cũng tuyên bố đã đánh cắp khối lượng dữ liệu khổng lồ lên tới 10.839 terabyte. 15 nạn nhân còn lại đã trả tiền chuộc hoặc thời hạn thanh toán chưa hết.

Trong trường hợp dữ liệu bị đánh cắp có sẵn, nó được cung cấp với mức phí một lần là 500 USD bằng tiền điện tử. Điều này mang lại "Quyền truy cập trọn đời vào tất cả các rò rỉ hiện tại và tương lai", với "Không có phí định kỳ hàng tháng".

"Cuộc tấn công này là một mối đe dọa đa nền tảng được tổ chức cao độ, nhắm vào Windows và macOS, với khả năng hỗ trợ Linux trong tương lai," Aryaka tóm tắt. "Các khả năng của nó bao gồm đánh cắp tiền điện tử, thu thập seed phrase ví, triển khai các payload độc hại bổ sung và mã hóa ransomware quy mô đầy đủ. Hoạt động này mang tính mô đun và thích ứng, cho phép kẻ tấn công leo thang từ trộm cắp cơ hội đến trích xuất dữ liệu quy mô lớn và tống tiền kép."

Không có sự nhắm mục tiêu rõ ràng trong chiến dịch này. Nó có thể là bất kỳ người dùng nào đang tìm kiếm tài khoản OnlyFans miễn phí (do đó, có lẽ các ghi chú chuộc xuất hiện bằng tiếng Anh, tiếng Nga và tiếng Trung). Tuy nhiên, nạn nhân có nhiều khả năng đang sử dụng thiết bị cá nhân của họ. Hầu hết nhân viên sẽ biết rằng phòng bảo mật có thể dễ dàng nhìn thấy họ đang truy cập đâu trên thiết bị công ty khi ở văn phòng.