-
09/04/2020
-
110
-
1.072 bài viết
Lộ diện chiến dịch mới: “Ứng dụng miễn phí” biến máy tính người dùng thành vũ khí mạng
Một chiến dịch mã độc mới vừa được các nhà nghiên cứu an ninh mạng phát hiện đang khiến ranh giới giữa phần mềm không mong muốn (PUP) và mã độc Trojan trở nên mờ nhạt.
Ẩn mình dưới vỏ bọc và lời kêu gọi ban đầu là sử dụng ứng dụng “miễn phí”: ManualFinder, OneStart, AppSuite-PDF hay PDF Editor,... Các phần mềm này không chỉ ẩn chứa mã độc, duy trì sự tồn tại lâu dài của mã độc trên máy nạn nhân mà còn biến chính thiết bị của người dùng thành proxy phục vụ hoạt động tội phạm mạng.
Theo Expel, các ứng dụng độc hại này được phân phối thông qua những chiến dịch quảng cáo rầm rộ, nhắm tới người dùng đang tìm kiếm trình đọc PDF hoặc tiện ích văn phòng miễn phí. Khi nhấp vào quảng cáo, người dùng sẽ được đưa tới các trang web có giao diện trông rất chuyên nghiệp, nhưng thiếu thông tin đáng tin cậy về sản phẩm. Thay vì cung cấp phần mềm thật, các trang này phát tán bộ cài đặt MSI chứa mã độc.
Phần mềm giả mạo sau khi được cài đặt sẽ tự động triển khai mã độc thông qua công cụ msiexec với tùy chọn chạy ẩn, khiến người dùng không hề hay biết.
Ngoài việc cài mã độc Trojan để đánh cắp dữ liệu hoặc tạo backdoor, một số ứng dụng như "PDF Editor" còn ngang nhiên yêu cầu người dùng đồng ý biến thiết bị của mình thành “residential proxy”. Điều này đồng nghĩa địa chỉ IP của nạn nhân có thể bị lợi dụng cho hoạt động tội phạm, khiến người dùng vô tình trở thành “lá chắn” che giấu dấu vết cho hacker.
Hậu quả là:
Khuyến cáo từ các chuyên gia:
Ẩn mình dưới vỏ bọc và lời kêu gọi ban đầu là sử dụng ứng dụng “miễn phí”: ManualFinder, OneStart, AppSuite-PDF hay PDF Editor,... Các phần mềm này không chỉ ẩn chứa mã độc, duy trì sự tồn tại lâu dài của mã độc trên máy nạn nhân mà còn biến chính thiết bị của người dùng thành proxy phục vụ hoạt động tội phạm mạng.
Theo Expel, các ứng dụng độc hại này được phân phối thông qua những chiến dịch quảng cáo rầm rộ, nhắm tới người dùng đang tìm kiếm trình đọc PDF hoặc tiện ích văn phòng miễn phí. Khi nhấp vào quảng cáo, người dùng sẽ được đưa tới các trang web có giao diện trông rất chuyên nghiệp, nhưng thiếu thông tin đáng tin cậy về sản phẩm. Thay vì cung cấp phần mềm thật, các trang này phát tán bộ cài đặt MSI chứa mã độc.
Phần mềm giả mạo sau khi được cài đặt sẽ tự động triển khai mã độc thông qua công cụ msiexec với tùy chọn chạy ẩn, khiến người dùng không hề hay biết.
- Duy trì sự tồn tại (Persistence): Kẻ tấn công tạo Scheduled Task (tác vụ định kỳ) để kích hoạt mã độc. Một số trường hợp còn dùng Node.js để chạy các đoạn mã JavaScript từ thư mục tạm (%TEMP%).
- Chuỗi tiến trình che giấu: Quá trình này thường bắt đầu từ svchost.exe và kích hoạt thông qua MSHTA.exe, làm cho việc phát hiện trở nên khó khăn.
- Liên lạc với máy chủ bên ngoài: Các mẫu mã độc được phát hiện kết nối tới tên miền mka3e8[.]com, vốn từng liên quan tới các chiến dịch phần mềm độc hại trước đó.
Ngoài việc cài mã độc Trojan để đánh cắp dữ liệu hoặc tạo backdoor, một số ứng dụng như "PDF Editor" còn ngang nhiên yêu cầu người dùng đồng ý biến thiết bị của mình thành “residential proxy”. Điều này đồng nghĩa địa chỉ IP của nạn nhân có thể bị lợi dụng cho hoạt động tội phạm, khiến người dùng vô tình trở thành “lá chắn” che giấu dấu vết cho hacker.
Hậu quả là:
- Máy tính bị chậm, tiêu tốn tài nguyên.
- Nguy cơ mất dữ liệu, thông tin đăng nhập.
- Địa chỉ IP có thể bị sử dụng cho spam, tấn công mạng, thậm chí dính líu pháp lý.
Khuyến cáo từ các chuyên gia:
- Chỉ tải phần mềm từ trang web chính thức, tránh các quảng cáo “quá tốt để là thật”.
- Doanh nghiệp nên rà soát và gỡ bỏ phần mềm có chữ ký từ các nhà phát hành đáng ngờ.
- Giám sát hệ thống để phát hiện Scheduled Task bất thường hoặc Node.js chạy từ thư mục tạm.
- Người dùng cá nhân nên sử dụng phần mềm diệt virus uy tín, thường xuyên cập nhật hệ điều hành và ứng dụng.
Theo Cyber Press, WhiteHat