Tìm kiếm "KakaoTalk" trên Bing: cả 3 kết quả đầu đều là phishing từ Trung Quốc
Khi tìm kiếm "KakaoTalk" trên Bing, cả 3 kết quả đầu (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) đều là phishing. Kết quả phân tích hạ tầng và mã nguồn cho thấy:
- Lọc truy cập: Nếu không có Referer+UA thì trả về 500/403 (né truy cập trực tiếp/trình quét tự động)
- Hạ tầng Trung Quốc: đăng ký qua Tencent/DNSpod, dùng phân tích 51.la,
og:locale=zh-cn, liên kết với tài khoản Telegram Trung Quốc - Đăng ký: 3 tên miền được đăng ký theo lô cách nhau 1 giây, cùng subnet /24, TLS được cấp cùng ngày
- Mã độc: trình cài đặt NSIS ngụy trang .scr → yêu cầu quyền quản trị → giải mã payload bằng
DcryptDll.dll→ thả file vào AppData - Phân phối: cả 3 tên miền đều chuyển hướng tới cùng một URL CDN Cloudflare (download.i96l6[.]top, Alibaba Cloud)
Trong khi đó, trang chính thức thật của KakaoTalk lại bị đẩy xuống vị trí thứ 4. Vì Edge dùng Bing làm công cụ tìm kiếm mặc định nên đây là mối đe dọa khá lớn với những người dùng chưa đổi thiết lập.
Nội dung chi tiết
Cơ chế né phát hiện được thiết kế khá tinh vi. Trang phishing chỉ hiển thị cho người dùng truy cập từ kết quả công cụ tìm kiếm, còn truy cập trực tiếp vào URL hoặc trình quét tự động sẽ nhận về trang trống. Vì vậy, ngay cả các dịch vụ phân tích công khai như urlscan.io cũng không phát hiện được, và kể cả khi người dùng nghi ngờ rồi tự kiểm tra URL thì cũng không thấy gì, khiến việc báo cáo trở nên khó khăn.
Việc nhận diện kẻ tấn công tương đối dễ. Trong mã nguồn có nhiều chỉ dấu cho thấy xuất xứ từ Trung Quốc như mã theo dõi 51.la (phân tích web của Trung Quốc), og:locale=zh-cn, đường dẫn /wenzhang/ (文章), cùng thông tin liên hệ Telegram được hardcode. Việc đăng ký tên miền dùng Tencent/DNSpod, còn CDN đi qua Alibaba Cloud.
Ba tên miền thực chất là một chiến dịch duy nhất. Registry Domain ID là dãy liên tiếp, được đăng ký theo lô cách nhau 1 giây, cùng subnet /24, cùng logic lọc, cùng URL tải xuống. Chúng dùng cấu trúc template chỉ thay đổi metadata để đa dạng hóa SEO (seo_templates/index/zd/kk_1/2/3/).
Đường dẫn tải xuống áp dụng cơ chế session gating. Truy cập trang /download → được cấp cookie PHPSESSID → khi gọi /download.php sẽ bị chuyển hướng 302 sang CDN bên ngoài (download.i96l6[.]top). Nếu truy cập trực tiếp download.php mà không có cookie thì trả về 500.
Tệp phát tán là file thực thi PE dùng phần mở rộng .scr (screensaver). Đây là trình cài đặt NSIS v3.07, ngụy trang metadata thành "Kakao Corp. / KakaoTalk Setup". Nó yêu cầu quyền quản trị, đồng thời bên trong được bundle DLL giải mã lúc chạy (DcryptDll.dll) và các thành phần của WPS Office (Kingsoft). Cách làm này cài đồng thời phần mềm bình thường và payload độc hại để giảm sự nghi ngờ của người dùng.
1 bình luận
SEO đầu độc..