Phần mềm độc hại SnappyClient
SnappyClient là một phần mềm độc hại cực kỳ tinh vi được viết bằng ngôn ngữ C++ và được phân phối thông qua một trình tải có tên là HijackLoader. Nó hoạt động như một Trojan truy cập từ xa (RAT), cho phép tội phạm mạng chiếm quyền kiểm soát các hệ thống bị xâm nhập và trích xuất dữ liệu nhạy cảm. Sau khi xâm nhập vào thiết bị, phần mềm độc hại sẽ kết nối với máy chủ điều khiển (C2) để nhận chỉ thị và thực hiện các hoạt động độc hại.
Mục lục
Kỹ thuật né tránh và thao túng hệ thống
Để không bị phát hiện, SnappyClient can thiệp vào các cơ chế bảo mật tích hợp sẵn của Windows. Một chiến thuật quan trọng là can thiệp vào Giao diện Quét Phần mềm Chống độc (AMSI), chịu trách nhiệm quét các tập lệnh và mã để tìm hành vi độc hại. Thay vì cho phép AMSI phát hiện các mối đe dọa, phần mềm độc hại thao túng đầu ra của nó để hoạt động độc hại trông có vẻ an toàn.
Phần mềm độc hại này cũng dựa vào một danh sách cấu hình nội bộ quy định hành vi của nó. Các thiết lập này xác định dữ liệu nào được thu thập, nơi lưu trữ, cách duy trì hoạt động và liệu quá trình thực thi có tiếp tục trong những điều kiện nhất định hay không. Cấu hình này đảm bảo rằng phần mềm độc hại vẫn hoạt động ngay cả sau khi khởi động lại hệ thống.
Ngoài ra, SnappyClient còn truy xuất hai tập tin được mã hóa từ các máy chủ do kẻ tấn công kiểm soát. Các tập tin này được lưu trữ ở định dạng ẩn và được sử dụng để điều khiển động chức năng của phần mềm độc hại trên hệ thống bị nhiễm.
Khả năng kiểm soát hệ thống toàn diện
SnappyClient cung cấp cho kẻ tấn công khả năng kiểm soát sâu rộng đối với các thiết bị bị xâm nhập. Nó có thể chụp ảnh màn hình và truyền chúng đến người điều hành từ xa, cung cấp cái nhìn trực tiếp về hoạt động của người dùng. Phần mềm độc hại này cũng cho phép quản lý toàn bộ tiến trình, cho phép kẻ tấn công giám sát, tạm dừng, tiếp tục hoặc chấm dứt các tiến trình đang chạy. Hơn nữa, nó hỗ trợ chèn mã vào các tiến trình hợp pháp, giúp nó hoạt động bí mật trong hệ thống.
Thao tác với hệ thống tập tin là một khả năng cốt lõi khác. Phần mềm độc hại có thể duyệt thư mục, tạo hoặc xóa tập tin và thư mục, và thực hiện các thao tác như sao chép, di chuyển, đổi tên, nén hoặc giải nén các tệp lưu trữ, ngay cả những tệp được bảo vệ bằng mật khẩu. Nó cũng có thể thực thi các tập tin và phân tích các lối tắt.
Chức năng giám sát và đánh cắp dữ liệu
Mục tiêu chính của SnappyClient là đánh cắp dữ liệu. Nó bao gồm một trình ghi nhật ký bàn phím tích hợp, ghi lại các thao tác gõ phím và gửi dữ liệu thu thập được cho kẻ tấn công. Ngoài ra, nó còn trích xuất nhiều thông tin nhạy cảm từ trình duyệt và các ứng dụng khác, bao gồm thông tin đăng nhập, cookie, lịch sử duyệt web, dấu trang, dữ liệu phiên và thông tin liên quan đến tiện ích mở rộng.
Phần mềm độc hại này cũng có thể tìm kiếm và đánh cắp các tệp hoặc thư mục cụ thể dựa trên các bộ lọc do kẻ tấn công định nghĩa, chẳng hạn như tên tệp hoặc đường dẫn. Ngoài việc đánh cắp dữ liệu, nó còn có khả năng tải xuống các tệp từ máy chủ từ xa và lưu trữ chúng cục bộ trên máy tính bị nhiễm.
Các tính năng thực thi và khai thác nâng cao
SnappyClient hỗ trợ nhiều phương pháp thực thi các payload độc hại. Nó có thể chạy các tệp thực thi tiêu chuẩn, tải các thư viện liên kết động (DLL) hoặc trích xuất và thực thi nội dung từ các tệp lưu trữ. Nó cũng cho phép kẻ tấn công xác định các tham số thực thi như thư mục làm việc và đối số dòng lệnh. Trong một số trường hợp, nó cố gắng vượt qua Kiểm soát Tài khoản Người dùng (UAC) để giành quyền truy cập cao hơn.
Các tính năng đáng chú ý khác bao gồm khả năng khởi chạy các phiên trình duyệt ẩn, cho phép kẻ tấn công theo dõi và thao túng hoạt động web mà người dùng không hề hay biết. Nó cũng cung cấp giao diện dòng lệnh để thực thi các lệnh hệ thống từ xa. Thao tác với clipboard là một chức năng nguy hiểm khác, thường được sử dụng để thay thế địa chỉ ví tiền điện tử bằng những địa chỉ do kẻ tấn công kiểm soát.
Các ứng dụng và nguồn dữ liệu mục tiêu
SnappyClient được thiết kế để trích xuất thông tin từ nhiều ứng dụng khác nhau, đặc biệt là trình duyệt web và các công cụ tiền điện tử.
Các trình duyệt web được nhắm mục tiêu bao gồm:
360 Browser, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi và Waterfox
Các ví và công cụ tiền điện tử được nhắm mục tiêu bao gồm:
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite và Wasabi
Việc nhắm mục tiêu quá rộng rãi này làm tăng đáng kể nguy cơ đánh cắp tài chính và xâm phạm thông tin đăng nhập.
Các phương pháp phân phối gian dối
SnappyClient chủ yếu lây lan qua các kỹ thuật phát tán lừa đảo được thiết kế để đánh lừa người dùng thực thi các tập tin độc hại. Một phương pháp phổ biến liên quan đến các trang web giả mạo các công ty viễn thông hợp pháp. Khi truy cập, các trang web này sẽ âm thầm tải xuống HijackLoader vào thiết bị của nạn nhân. Nếu được thực thi, trình tải này sẽ triển khai SnappyClient.
Một chiến thuật khác là lợi dụng các nền tảng mạng xã hội như X (thường được biết đến với tên gọi Twitter). Kẻ tấn công đăng tải các liên kết hoặc hướng dẫn dụ dỗ người dùng tải xuống, đôi khi sử dụng các kỹ thuật như ClickFix. Những hành động này cuối cùng dẫn đến việc thực thi HijackLoader và cài đặt phần mềm độc hại.
Rủi ro và Tác động của Nhiễm trùng
SnappyClient представляет mối đe dọa nghiêm trọng đối với an ninh mạng do tính chất khó phát hiện, tính linh hoạt và khả năng mở rộng của nó. Sau khi được triển khai, nó cho phép kẻ tấn công theo dõi hoạt động của người dùng, đánh cắp thông tin nhạy cảm, thao túng hoạt động hệ thống và thực thi các phần mềm độc hại khác.
Hậu quả của những sự lây nhiễm này có thể rất nghiêm trọng, bao gồm chiếm đoạt tài khoản, đánh cắp danh tính, thiệt hại tài chính, lây nhiễm thêm phần mềm độc hại và làm hệ thống bị xâm phạm lâu dài.
