Các nhà nghiên cứu bảo mật đã tìm ra phương pháp thu thập số lượng lớn thông tin đăng nhập của người dùng bị đánh cắp bằng cách thực hiện tìm kiếm trên VirusTotal, dịch vụ trực tuyến được sử dụng để phân tích các tệp và URL đáng ngờ.
Với giấy phép VirusTotal trị giá €600 (khoảng $679) và một số công cụ, nhóm nghiên cứu SafeBreach đã thu thập được hơn một triệu thông tin đăng nhập bằng kỹ thuật này. Mục tiêu là xác định dữ liệu mà tội phạm có thể thu thập bằng giấy phép cho VirusTotal, thuộc sở hữu của Google và cung cấp dịch vụ miễn phí có thể được sử dụng để tải lên và kiểm tra các tệp cũng như liên kết đáng ngờ bằng cách sử dụng một số công cụ chống vi-rút.
Người dùng được cấp phép trên VirusTotal có thể truy vấn tập dữ liệu của dịch vụ bằng cách kết hợp các truy vấn về loại tệp, tên tệp, dữ liệu đã gửi, quốc gia và nội dung tệp, cùng nhiều truy vấn khác. Nhóm SafeBreach đã tạo ra ý tưởng về “VirusTotal hack” dựa trên phương pháp “Google hack”, mà bọn tội phạm sử dụng để tìm kiếm các trang web dễ bị tấn công, thiết bị Internet of Things, Web shell và rò rỉ dữ liệu nhạy cảm.
Nhiều kẻ đánh cắp thông tin thu thập thông tin xác thực từ các diễn đàn, tài khoản thư, trình duyệt và các nguồn khác khác nhau rồi ghi chúng vào một tên tệp được mã hóa cứng cố định — ví dụ: “all_credentials.txt” — sau đó trích xuất tệp này từ thiết bị của nạn nhân cho kẻ tấn công ' máy chủ chỉ huy và kiểm soát. Bằng cách sử dụng phương pháp này, các nhà nghiên cứu đã sử dụng các công cụ và API của VirusTotal như tìm kiếm, VirusTotal Graph và Retrohunt và sử dụng chúng để tìm các tệp chứa dữ liệu bị đánh cắp.
Tomer Bar, giám đốc nghiên cứu bảo mật tại SafeBreach cho biết: “Đây là một kỹ thuật khá đơn giản và không yêu cầu hiểu biết sâu sắc về phần mềm độc hại”. “Tất cả những gì bạn cần là chọn một trong những kẻ đánh cắp thông tin phổ biến nhất và đọc về nó trên mạng.”
Các nhà nghiên cứu đã tiến hành nghiên cứu bằng cách sử dụng phần mềm độc hại đã biết bao gồm RedLine Stealer, Azorult, Raccoon Stealer và Hawkeye cũng như các diễn đàn nổi tiếng như DrDark và Snatch_Cloud để đánh cắp dữ liệu nhạy cảm. Họ nhận thấy phương pháp của họ hoạt động ở quy mô lớn.
RedLine Stealer là một dạng phần mềm độc hại được bán trên các diễn đàn ngầm thông qua hình thức mua hoặc đăng ký độc lập. Nó sử dụng các trình duyệt để thu thập dữ liệu như thông tin xác thực đã lưu, dữ liệu tự động hoàn thành và chi tiết thẻ tín dụng. Khi chạy trên máy mục tiêu, phần mềm độc hại sẽ lấy bản kiểm kê hệ thống bao gồm các thông tin như tên người dùng, dữ liệu vị trí, cấu hình phần cứng và chi tiết về phần mềm bảo mật. RedLine Stealer có thể tải lên và tải xuống các tập tin cũng như thực thi các lệnh.
Để bắt đầu, các nhà nghiên cứu đã sử dụng VirusTotal Query để tìm kiếm các tệp nhị phân được xác định bởi ít nhất một công cụ chống vi-rút là RedLine — trả về 800 kết quả. Họ cũng tìm kiếm các tệp có tên DomainDetects.txt, đây là một trong những tên tệp mà phần mềm độc hại lọc ra. Điều này trả về hàng trăm tập tin đã được lọc.
Sau đó, họ chuyển sang VirusTotal Graph, cho phép người dùng VirusTotal được cấp phép khám phá tập dữ liệu một cách trực quan. Tại đó, các nhà nghiên cứu nhận thấy một tệp từ kết quả tìm kiếm của họ cũng được đưa vào tệp RAR chứa dữ liệu đã được lọc của 500 nạn nhân – bao gồm 22,715 mật khẩu của nhiều trang web khác nhau. Kết quả bổ sung bao gồm các tệp thậm chí còn lớn hơn, chứa nhiều mật khẩu hơn. Các nhà nghiên cứu lưu ý rằng một số dành cho các URL liên quan đến chính phủ.
Quy trình sử dụng từng công cụ này của các nhà nghiên cứu rất chi tiết trong một bài viết về những phát hiện của họ.
Tội phạm mạng “hoàn hảo”
Mặc dù có rất nhiều công cụ đánh cắp thông tin để lựa chọn, nhưng các nhà nghiên cứu đã chọn 5 công cụ đánh cắp thông tin thường được sử dụng vì khả năng tìm thấy các tệp được chúng lọc trong bộ dữ liệu VirusTotal cao hơn.
Bar cho biết nhóm SafeBreach đã tìm hiểu và cải thiện các truy vấn của mình khi khám phá VirusTotal. Ví dụ: họ phát hiện một số kẻ tấn công nén dữ liệu của nạn nhân vào một tệp lưu trữ lớn. VirusTotal cung cấp một cách để tìm kiếm các tệp lưu trữ chứa tên tệp được mã hóa cứng cố định, vì vậy khi họ tìm thấy một tệp duy nhất, họ cũng tìm thấy dữ liệu bị đánh cắp của hàng trăm nạn nhân, ông giải thích.
Các nhà nghiên cứu viết trong bài đăng trên blog của họ: “Tội phạm sử dụng phương pháp này có thể thu thập số lượng thông tin xác thực gần như không giới hạn và dữ liệu nhạy cảm khác của người dùng với rất ít nỗ lực trong một khoảng thời gian ngắn bằng cách sử dụng phương pháp không bị lây nhiễm”. “Chúng tôi gọi đây là tội phạm mạng hoàn hảo, không chỉ vì không có rủi ro và nỗ lực rất thấp mà còn do nạn nhân không có khả năng tự bảo vệ mình khỏi loại hoạt động này.”
Các nhà nghiên cứu đã liên hệ với Google để thông báo những phát hiện của họ và yêu cầu các tệp chứa dữ liệu cá nhân từ VirusTotal. Họ cũng khuyên nên tìm kiếm và xóa định kỳ các tệp có dữ liệu người dùng nhạy cảm và cấm các khóa API tải các tệp đó lên.
SafeBreach cũng khuyên Google nên thêm một thuật toán không cho phép tải lên các tệp có dữ liệu nhạy cảm chứa văn bản gốc hoặc tệp được mã hóa có đính kèm mật khẩu giải mã, dưới dạng văn bản hoặc hình ảnh.
