-
09/04/2020
-
128
-
1.698 bài viết
Microsoft cảnh báo chiến dịch giả mạo VPN, phát tán mã độc đánh cắp thông tin
Microsoft vừa phát hiện một chiến dịch tấn công mạng do nhóm Storm-2561 thực hiện, sử dụng bộ cài VPN giả mạo để đánh cắp thông tin đăng nhập trong môi trường doanh nghiệp. Đáng chú ý, chiến dịch này không khai thác lỗ hổng phần mềm mà lợi dụng thứ hạng tìm kiếm, thương hiệu quen thuộc và nền tảng đáng tin cậy để dẫn dụ người dùng tự tải mã độc về máy.
Chuyên gia WhiteHat nhận định Storm-2561 đã phối hợp nhiều lớp ngụy trang trong cùng một chuỗi tấn công, từ thao túng kết quả tìm kiếm, giả mạo thương hiệu, lưu trữ mã độc trên GitHub đến sử dụng chứng chỉ ký số hợp lệ. Cách kết hợp này khiến bộ cài độc hại dễ qua mắt người dùng và làm tăng rủi ro từ phần mềm giả mạo trong môi trường doanh nghiệp. Dù chưa phải tấn công chuỗi cung ứng phần mềm theo nghĩa xâm nhập trực tiếp vào nhà cung cấp, chiến dịch cho thấy tin tặc đang lợi dụng chuỗi tin cậy trong quá trình tìm kiếm, tải và cài đặt phần mềm để phát tán mã độc.
Chuyên gia WhiteHat nhận định Storm-2561 đã phối hợp nhiều lớp ngụy trang trong cùng một chuỗi tấn công, từ thao túng kết quả tìm kiếm, giả mạo thương hiệu, lưu trữ mã độc trên GitHub đến sử dụng chứng chỉ ký số hợp lệ. Cách kết hợp này khiến bộ cài độc hại dễ qua mắt người dùng và làm tăng rủi ro từ phần mềm giả mạo trong môi trường doanh nghiệp. Dù chưa phải tấn công chuỗi cung ứng phần mềm theo nghĩa xâm nhập trực tiếp vào nhà cung cấp, chiến dịch cho thấy tin tặc đang lợi dụng chuỗi tin cậy trong quá trình tìm kiếm, tải và cài đặt phần mềm để phát tán mã độc.
Theo Microsoft, Storm-2561 đã hoạt động ít nhất từ tháng 5/2025 và được ghi nhận trở lại vào giữa tháng 1/2026. Kịch bản tấn công bắt đầu khi người dùng tìm kiếm các phần mềm doanh nghiệp phổ biến, đặc biệt là công cụ kết nối từ xa như VPN. Các liên kết giả mạo được đẩy lên vị trí dễ thấy trên công cụ tìm kiếm khiến nạn nhân tưởng là nguồn tải chính thống.
Sau khi bấm tải, người dùng bị chuyển hướng tới một kho lưu trữ độc hại trên GitHub chứa tệp nén VPN-CLIENT.zip. Bên trong là một gói cài đặt MSI giả mạo phần mềm Pulse Secure VPN. Khi chạy, bộ cài này thả tệp Pulse.exe vào thư mục có đường dẫn gần giống thư mục hợp pháp của Pulse Secure để che giấu hoạt động.
Ảnh chụp màn hình trang web do tin tặc kiểm soát, vpn-fortinet[.]com, giả mạo Fortinet (Nguồn: Microsoft)
Mã độc đồng thời cài thêm hai thư viện dwmapi.dll và inspector.dll. Trong đó, dwmapi.dll đóng vai trò nạp mã độc trực tiếp vào bộ nhớ, sau đó gọi inspector.dll - một biến thể của mã độc Hyrax chuyên đánh cắp thông tin. Để duy trì hoạt động sau khi khởi động lại, mã độc thêm Pulse.exe vào khóa RunOnce của Windows Registry.
Đoạn mã từ trang vpn-fortinet[.]com cho thấy tệp VPN-CLIENT.zip được tải xuống từ GitHub (Nguồn: Microsoft)
Đáng chú ý, sau khi hoàn tất lây nhiễm, bộ cài giả vẫn hiển thị thông báo lỗi, thậm chí chuyển người dùng sang trang VPN hợp pháp. Điều này khiến nạn nhân dễ nhầm rằng quá trình cài đặt chỉ gặp sự cố thông thường, trong khi thông tin đăng nhập có thể đã bị thu thập.
Doanh nghiệp nên kích hoạt đầy đủ các lớp bảo vệ trên thiết bị đầu cuối, web và trình duyệt; áp dụng xác thực đa lớp; không lưu mật khẩu công việc trong trình duyệt cá nhân; đồng thời chặn thực thi các tệp lạ hoặc có độ phổ biến thấp.
Theo Cyber Press