-
09/04/2020
-
125
-
1.593 bài viết
Chiến dịch giả mạo 7-Zip âm thầm xây mạng proxy từ IP người dùng
Một chiến dịch phát tán phần mềm độc hại mới đây đã lợi dụng uy tín của 7-Zip để phân phối bản cài đặt bị trojan hóa, biến máy tính người dùng thành một nút trong mạng proxy dân cư. Thay vì phá hoại tức thời hay đánh cắp dữ liệu trực tiếp, mã độc âm thầm biến thiết bị nạn nhân thành hạ tầng trung chuyển lưu lượng cho bên thứ ba.
Sự việc chỉ bị phát hiện khi một người dùng nhận ra mình đã tải 7-Zip từ tên miền 7zip[.]com thay vì 7-zip.org. Website giả mạo này vẫn đang hoạt động và được dựng lại gần như giống hệt bản gốc, từ nội dung giới thiệu đến cấu trúc trang tải về. Với giao diện quen thuộc, người dùng rất dễ tin rằng mình đang ở đúng trang chính thức.
Phân tích từ Malwarebytes cho thấy file cài đặt được ký bằng một chứng thư số đã bị thu hồi, vốn từng được cấp cho Jozeal Network Technology Co., Limited. Việc có chữ ký số khiến gói cài đặt trông hợp lệ hơn trong mắt người dùng và thậm chí qua mặt một số cơ chế kiểm tra cơ bản. Đáng chú ý, bên trong vẫn là phiên bản 7-Zip hoạt động bình thường. Chính lớp vỏ hợp pháp này giúp mã độc ẩn mình hiệu quả, bởi người dùng không nhận thấy bất kỳ dấu hiệu bất thường nào sau khi cài đặt.
Tuy nhiên, song song với phần mềm hợp lệ, installer thả thêm ba thành phần độc hại gồm Uphero.exe đóng vai trò quản lý dịch vụ và tải cập nhật, hero.exe là payload chính thực hiện chức năng proxy, cùng thư viện hỗ trợ hero.dll. Các tệp được đặt trong thư mục C:\Windows\SysWOW64\hero\ và hệ thống tạo một dịch vụ Windows tự khởi động với quyền SYSTEM để duy trì hoạt động bền vững.
Trang web độc hại phát tán phần mềm 7-Zip bị nhiễm mã độc Trojan.
Nguồn: BleepingComputer
Mã độc chỉnh sửa quy tắc tường lửa bằng lệnh netsh nhằm cho phép các tiến trình thiết lập kết nối inbound và outbound. Sau khi cài đặt, hệ thống bị nhiễm sẽ bị fingerprint thông qua Windows Management Instrumentation và các API Windows để thu thập thông tin phần cứng, bộ nhớ, CPU, ổ đĩa và đặc điểm mạng. Dữ liệu này được gửi về iplogger[.]org.
Ban đầu, một số chỉ dấu cho thấy mã độc có khả năng hoạt động như một backdoor. Tuy nhiên, phân tích sâu hơn xác nhận chức năng cốt lõi của nó là proxyware. Thiết bị bị nhiễm sẽ trở thành một exit node trong mạng proxy dân cư, cho phép bên thứ ba định tuyến lưu lượng qua chính địa chỉ IP thật của nạn nhân. Cách thức này giúp né tránh cơ chế chặn dựa trên IP reputation, tức hệ thống đánh giá mức độ rủi ro của một địa chỉ IP dựa trên lịch sử hành vi như spam, dò mật khẩu hay phát tán mã độc. Do IP dân cư thường được xem là “sạch” hơn so với IP trung tâm dữ liệu, lưu lượng đi qua các thiết bị bị kiểm soát sẽ khó bị các hệ thống chống bot và lọc truy cập phát hiện hoặc chặn lại.
Theo phân tích của Malwarebytes, hero.exe định kỳ tải cấu hình từ các tên miền C2 xoay vòng mang chủ đề “smshero”, rồi thiết lập các phiên proxy outbound qua những cổng ít phổ biến như 1000 và 1002 nhằm giảm khả năng bị chú ý. Lưu lượng điều khiển được mã hóa ở lớp truyền tải bằng HTTPS sử dụng TLS, đồng thời nội dung thông điệp còn được làm rối bằng khóa XOR đơn giản để tránh bị phân tích thụ động. Hạ tầng điều khiển đặt sau Cloudflare và tận dụng DNS-over-HTTPS thông qua bộ phân giải của Google, khiến hoạt động phân giải tên miền khó bị quan sát bằng các cơ chế giám sát DNS truyền thống.
Bên cạnh đó, mã độc tích hợp nhiều kỹ thuật né tránh phân tích. Nó kiểm tra sự hiện diện của các môi trường ảo hóa như VMware, VirtualBox, QEMU và Parallels, đồng thời dò tìm dấu hiệu của công cụ gỡ lỗi. Nếu phát hiện đang chạy trong môi trường nghiên cứu, mẫu có thể thay đổi hành vi hoặc hạn chế thực thi payload nhằm tránh bị bóc tách chi tiết.
Đáng chú ý, chiến dịch không chỉ nhắm vào 7-Zip. Điều tra cho thấy các bản cài đặt bị trojan hóa của nhiều phần mềm phổ biến khác như HolaVPN, TikTok, WhatsApp và Wire VPN cũng được sử dụng làm mồi nhử. Điều này cho thấy một chiến dịch quy mô lớn, có hạ tầng xoay vòng và chiến lược phân phối đa thương hiệu nhằm tối đa hóa tỷ lệ lây nhiễm.
Việc sử dụng proxy dân cư mang lại lợi thế rõ rệt cho kẻ vận hành. Lưu lượng độc hại đi qua IP của người dùng thật khó bị phân loại là bất thường. Đồng thời, rủi ro pháp lý và uy tín có thể đổ lên phía nạn nhân nếu địa chỉ IP bị ghi nhận trong các hoạt động gian lận, credential stuffing hay phát tán nội dung độc hại.
Các chuyên gia khuyến cáo người dùng và quản trị viên chỉ tải phần mềm từ domain chính thức đã được xác minh, tránh truy cập liên kết trong video hướng dẫn hoặc kết quả tìm kiếm quảng cáo. Với môi trường doanh nghiệp, cần tăng cường giám sát lưu lượng bất thường trên các cổng lạ, kiểm tra dịch vụ Windows mới được tạo và theo dõi hành vi DNS-over-HTTPS nhằm phát hiện sớm dấu hiệu proxyware.
Ban đầu, một số chỉ dấu cho thấy mã độc có khả năng hoạt động như một backdoor. Tuy nhiên, phân tích sâu hơn xác nhận chức năng cốt lõi của nó là proxyware. Thiết bị bị nhiễm sẽ trở thành một exit node trong mạng proxy dân cư, cho phép bên thứ ba định tuyến lưu lượng qua chính địa chỉ IP thật của nạn nhân. Cách thức này giúp né tránh cơ chế chặn dựa trên IP reputation, tức hệ thống đánh giá mức độ rủi ro của một địa chỉ IP dựa trên lịch sử hành vi như spam, dò mật khẩu hay phát tán mã độc. Do IP dân cư thường được xem là “sạch” hơn so với IP trung tâm dữ liệu, lưu lượng đi qua các thiết bị bị kiểm soát sẽ khó bị các hệ thống chống bot và lọc truy cập phát hiện hoặc chặn lại.
Theo phân tích của Malwarebytes, hero.exe định kỳ tải cấu hình từ các tên miền C2 xoay vòng mang chủ đề “smshero”, rồi thiết lập các phiên proxy outbound qua những cổng ít phổ biến như 1000 và 1002 nhằm giảm khả năng bị chú ý. Lưu lượng điều khiển được mã hóa ở lớp truyền tải bằng HTTPS sử dụng TLS, đồng thời nội dung thông điệp còn được làm rối bằng khóa XOR đơn giản để tránh bị phân tích thụ động. Hạ tầng điều khiển đặt sau Cloudflare và tận dụng DNS-over-HTTPS thông qua bộ phân giải của Google, khiến hoạt động phân giải tên miền khó bị quan sát bằng các cơ chế giám sát DNS truyền thống.
Bên cạnh đó, mã độc tích hợp nhiều kỹ thuật né tránh phân tích. Nó kiểm tra sự hiện diện của các môi trường ảo hóa như VMware, VirtualBox, QEMU và Parallels, đồng thời dò tìm dấu hiệu của công cụ gỡ lỗi. Nếu phát hiện đang chạy trong môi trường nghiên cứu, mẫu có thể thay đổi hành vi hoặc hạn chế thực thi payload nhằm tránh bị bóc tách chi tiết.
Đáng chú ý, chiến dịch không chỉ nhắm vào 7-Zip. Điều tra cho thấy các bản cài đặt bị trojan hóa của nhiều phần mềm phổ biến khác như HolaVPN, TikTok, WhatsApp và Wire VPN cũng được sử dụng làm mồi nhử. Điều này cho thấy một chiến dịch quy mô lớn, có hạ tầng xoay vòng và chiến lược phân phối đa thương hiệu nhằm tối đa hóa tỷ lệ lây nhiễm.
Việc sử dụng proxy dân cư mang lại lợi thế rõ rệt cho kẻ vận hành. Lưu lượng độc hại đi qua IP của người dùng thật khó bị phân loại là bất thường. Đồng thời, rủi ro pháp lý và uy tín có thể đổ lên phía nạn nhân nếu địa chỉ IP bị ghi nhận trong các hoạt động gian lận, credential stuffing hay phát tán nội dung độc hại.
Các chuyên gia khuyến cáo người dùng và quản trị viên chỉ tải phần mềm từ domain chính thức đã được xác minh, tránh truy cập liên kết trong video hướng dẫn hoặc kết quả tìm kiếm quảng cáo. Với môi trường doanh nghiệp, cần tăng cường giám sát lưu lượng bất thường trên các cổng lạ, kiểm tra dịch vụ Windows mới được tạo và theo dõi hành vi DNS-over-HTTPS nhằm phát hiện sớm dấu hiệu proxyware.
Theo Bleeping Computer