Một cuộc điều tra chuyên sâu gần đây của Intrinsec đã phơi bày một mạng lưới rộng lớn gồm hơn 300 website phát tán phần mềm bẻ khóa (cracking websites), được điều hành bởi các freelancer tại Pakistan. Các trang web này được thiết kế đặc biệt để phân phối các loại malware đánh cắp thông tin (info-stealing malware).
Các trang web độc hại này thường ngụy trang thành các nguồn cung cấp phần mềm bẻ khóa hợp pháp, đã được xác định là vector chính gây ra các vụ xâm nhập bằng stealer, ảnh hưởng đến nhiều khách hàng doanh nghiệp trên toàn cầu. Phân tích cho thấy một hệ sinh thái tội phạm mạng tinh vi, nơi các cá nhân ở Pakistan, chuyên về phát triển web và quảng cáo kỹ thuật số, xây dựng và quảng bá các nền tảng độc hại này. Hoạt động này thường tuân theo mô hình trả tiền cho mỗi lần cài đặt (Pay-Per-Install – PPI), gợi nhớ đến chiến dịch malware Cryptbot khét tiếng.
Mô hình PPI này khuyến khích lợi nhuận tài chính bằng cách trả tiền cho các tác nhân cho mỗi lần cài đặt malware thành công, khai thác những người dùng không nghi ngờ tải xuống các phần mềm tưởng chừng như miễn phí.
Phân tích Hạ tầng Kỹ thuật và Các Chỉ dấu Tấn công (IOCs)
Đi sâu vào các nền tảng kỹ thuật, cuộc điều tra đã truy tìm nguồn gốc các vụ lây nhiễm đến các domain như kmspico[.]io, được lưu trữ trên các dải IP như 45.12.1[.]24 thuộc quyền quản lý của Virtual Systems LLC.
Bằng cách xoay trục dựa trên các chỉ số này, các nhà nghiên cứu đã phát hiện ra các banner OpenSSH được chia sẻ, liên kết đến các IP độc hại khác, đáng chú ý là 45.12.1[.]30, liên quan đến nhiều domain chuyên cung cấp phần mềm bẻ khóa. Một phát hiện quan trọng là việc sử dụng các nameserver từ filescrack[.]com, hoạt động từ năm 2021, vốn đã hỗ trợ hơn 300 trang web độc hại tính đến tháng 9 năm 2024.
Ngoài ra, nhà cung cấp dịch vụ lưu trữ 24xservice, liên kết với AS57717 và đặt tại Lahore, Pakistan, được phát hiện là đang lưu trữ một dải IP (185.216.143[.]0/24) gần như dành riêng cho các trang web độc hại này. Hồ sơ WhoIs cũng liên kết các địa chỉ email định danh với danh tính thật của các freelancer Pakistan, một số trong số họ đã chuyển từ các hoạt động bất hợp pháp sang các dự án hợp pháp kể từ năm 2023, làm nổi bật tính chất linh hoạt của các vai trò trong tội phạm mạng.
Báo cáo còn phát hiện ra mối liên hệ với các dịch vụ PPI như installpp[.]com, nơi hoa hồng được kiếm dựa trên nhân khẩu học của nạn nhân, khuếch đại quy mô phân phối.
Bối cảnh Địa chính trị và Thách thức Thực thi Pháp luật
Về mặt địa chính trị, tình hình càng trở nên phức tạp bởi sự phát triển các liên minh mạng của Pakistan với Trung Quốc và Nga, cùng với việc thiếu các hiệp ước dẫn độ với Mỹ và EU. Khoảng cách pháp lý này khiến việc truy tố các tác nhân đe dọa này gần như không thể, mặc dù việc tịch thu máy chủ có thể mang lại sự giảm nhẹ tạm thời. Hợp tác an ninh mạng của Pakistan với Trung Quốc, tập trung vào chia sẻ thông tin tình báo và phản ứng khẩn cấp, cùng với lập trường trung lập của nước này trong các cuộc xung đột toàn cầu, cho thấy một sự khoan dung tiềm tàng đối với các hoạt động mạng như vậy nếu chúng không nhắm mục tiêu vào lợi ích quốc gia. Mạng lưới phức tạp của cơ sở hạ tầng kỹ thuật và động lực địa chính trị này nhấn mạnh thách thức dai dẳng của việc phá vỡ các mạng lưới như vậy, khi các domain và máy chủ mới nhanh chóng được xây dựng lại sau khi bị gián đoạn.
Tác động và Hậu quả Đối với Tổ chức
Các hệ lụy là rất nghiêm trọng, khi các thông tin đăng nhập bị đánh cắp (compromised credentials) thu thập được thông qua các stealer này được rao bán trên các thị trường dark web, tạo điều kiện cho các cuộc tấn công tiếp theo như ransomware hoặc gián điệp thông qua RATs (Remote Access Trojans).
Phân tích của Intrinsec, mặc dù không đi sâu vào các chuỗi kill-chain sau lây nhiễm (đã được đề cập trong các nghiên cứu về Cryptbot và Lumma), nhưng nhấn mạnh phân đoạn thượng nguồn của tội phạm mạng, nơi việc tạo trang web và phân phối malware là các vai trò riêng biệt nhưng có liên kết với nhau.
Biện pháp Giảm thiểu và Khuyến nghị Bảo mật
Các tổ chức được khuyến nghị mạnh mẽ chặn danh sách mở rộng các Chỉ dấu Tấn công (IOCs) được cung cấp, tăng cường đào tạo nhân viên về các mối đe dọa lừa đảo (phishing) và việc sử dụng phần mềm bẻ khóa. Đồng thời, cần triển khai các biện pháp bảo mật mạnh mẽ như xác thực đa yếu tố (MFA) và giám sát mạng để giảm thiểu rủi ro.
Indicators of Compromise (IOCs)
- Domains:
kmspico[.]iofilescrack[.]cominstallpp[.]com
- IP Addresses:
45.12.1[.]2445.12.1[.]30185.216.143[.]0/24
- Hosting Providers/ASNs:
- Virtual Systems LLC
- 24xservice
- AS57717
