Các chuyên gia an ninh mạng đã phát hiện một sự phát triển đáng lo ngại trên thị trường tội phạm mạng ngầm: một mã độc RAT (Remote Access Trojan) tinh vi được quảng cáo là một giải pháp hoàn toàn không thể bị phát hiện (FUD) thay thế cho công cụ truy cập từ xa ScreenConnect hợp pháp.
Mối đe dọa mới nổi này đánh dấu sự leo thang đáng kể trong hoạt động phần mềm độc hại như một dịch vụ (malware-as-a-service), với các tác nhân đe dọa nhắm mục tiêu cụ thể vào sự tin cậy liên quan đến các công cụ quản trị từ xa đã được thiết lập.
Cơ chế Vượt qua Bảo mật và Giấy chứng nhận EV
Điểm bán hàng chính của phần mềm độc hại tập trung vào khả năng bỏ qua hoàn toàn các cảnh báo bảo mật từ cả Google Chrome và Windows SmartScreen.
Đây là hai rào cản bảo mật quan trọng thường bảo vệ người dùng khỏi các tải xuống độc hại. Theo quảng cáo trên các diễn đàn ngầm, việc né tránh này đạt được thông qua việc đóng gói phần mềm độc hại với các chứng chỉ Extended Validation (EV) hợp lệ.
Đây là những chứng chỉ kỹ thuật số độ tin cậy cao mà các trình duyệt thường hiển thị với các chỉ báo tin cậy hình ảnh nâng cao.
Kỹ thuật Che giấu và Né tránh Hệ thống
Các tác nhân đe dọa đã phát triển một bộ công cụ né tránh toàn diện, bao gồm các cơ chế chống bot và các trang đích bị che giấu.
Các tính năng tinh vi này cho phép mã độc RAT hiển thị nội dung lành tính cho các máy quét bảo mật tự động và môi trường sandbox.
Đồng thời, chúng vẫn có thể phân phối các tải trọng độc hại đến các mục tiêu thực sự. Khả năng trình bày kép này thể hiện một tiến bộ đáng kể trong các kỹ thuật né tránh phân tích tự động.
Phương thức Phân phối và Kỹ thuật Social Engineering
Các phương pháp tấn công không tệp phổ biến bao gồm sử dụng PowerShell, email lừa đảo, các liên kết độc hại và các trang web trông giống như hợp pháp để phân phối phần mềm độc hại mà không cần các tệp truyền thống.
Cơ chế phân phối thể hiện kỹ năng kỹ thuật xã hội chuyên nghiệp, với các tác nhân đe dọa tạo ra các trang tải xuống Adobe Acrobat Reader giả mạo rất thuyết phục.
Cách tiếp cận này tận dụng sự quen thuộc của người dùng với các bản cập nhật phần mềm hợp pháp để tạo điều kiện thuận lợi cho việc xâm nhập ban đầu. Điều này cho thấy cách các kẻ tấn công tiếp tục khai thác các thương hiệu đáng tin cậy cho mục đích độc hại.
Kỹ thuật Thực thi Không cần Tệp (Fileless Execution)
Phân tích kỹ thuật từ CybersecurityNews tiết lộ rằng mã độc RAT này sử dụng các kỹ thuật thực thi không cần tệp.
Cụ thể, nó chủ yếu sử dụng các lệnh dựa trên PowerShell để tải trực tiếp payload thực thi vào bộ nhớ. Phương pháp này cho phép phần mềm độc hại hoạt động mà không ghi các tệp cố định vào đĩa.
Điều này làm giảm đáng kể khả năng bị phát hiện bởi các giải pháp chống vi-rút truyền thống dựa vào cơ chế quét tệp. Việc nâng cao khả năng phát hiện xâm nhập là cực kỳ cần thiết trước các phương thức tấn công này.
Chi tiết về Khả năng Điều khiển Từ xa
Các khả năng truy cập từ xa bao gồm một chức năng xem từ xa toàn diện, cấp cho kẻ tấn công quyền kiểm soát trực quan theo thời gian thực đối với các hệ thống bị xâm nhập.
Chức năng này cho phép giám sát liên tục, trích xuất dữ liệu tương tác và thao tác hệ thống động mà không yêu cầu triển khai thêm công cụ.
Sơ đồ luồng cho thấy chuỗi lây nhiễm của phần mềm độc hại không tệp JS_POWMET và việc phân phối payload BKDR_ANDROM.
Mô hình Cybercrime-as-a-Service và Tác động
Cách tiếp cận bán hàng của tác nhân đe dọa thể hiện một mô hình tội phạm mạng như một dịch vụ có tổ chức cao. Các quảng cáo mô tả công cụ này một cách rõ ràng là một “FUD loader”.
Điều này cho thấy mục đích sử dụng của nó như một vector lây nhiễm chính để thiết lập quyền truy cập hệ thống lâu dài trước khi triển khai các payload thứ cấp như mã độc tống tiền (ransomware), trojan ngân hàng hoặc các công cụ gián điệp.
Lời hứa của người bán về việc cung cấp bản demo và thời gian giao hàng 24 giờ cho thấy một cơ sở hạ tầng vận hành trưởng thành, được thiết kế để hỗ trợ phân phối phần mềm độc hại có khả năng mở rộng.
Cách tiếp cận chuyên nghiệp này phản ánh các mô hình bán phần mềm hợp pháp, làm nổi bật sự tinh vi ngày càng tăng của các doanh nghiệp tội phạm mạng.
Xu hướng Đe dọa Mạng và Khuyến nghị Bảo mật
Sự phát triển này phản ánh các xu hướng rộng hơn trong bối cảnh đe dọa mạng, nơi các kẻ tấn công ngày càng tập trung vào việc khai thác sự tin cậy của người dùng vào các thương hiệu hợp pháp và né tránh các công nghệ bảo mật hiện đại.
Việc nhắm mục tiêu cụ thể vào danh tiếng của ScreenConnect cho thấy các tác nhân đe dọa đang xác định và khai thác một cách có hệ thống các mối quan hệ tin cậy giữa người dùng và các giải pháp truy cập từ xa đã được thiết lập.
Sự tích hợp các chứng chỉ EV hợp lệ với các payload độc hại thể hiện một sự phát triển đặc biệt đáng lo ngại. Nó trực tiếp làm suy yếu một trong những cơ chế tin cậy cơ bản của Internet.
Kỹ thuật này có thể mở rộng quy mô trên nhiều chiến dịch tấn công, khiến việc an ninh mạng trở nên khó khăn hơn đáng kể cho cả hệ thống tự động và người dùng cuối. Các chuyên gia bảo mật nên lường trước các trường hợp mạo danh thương hiệu hợp pháp gia tăng và các kỹ thuật né tránh được tăng cường.
Các tác nhân đe dọa tiếp tục chuyên nghiệp hóa hoạt động của chúng. Các tổ chức sử dụng công cụ truy cập từ xa nên triển khai các quy trình xác minh bổ sung và duy trì nhận thức cao hơn về các nỗ lực kỹ thuật xã hội nhắm vào các mối quan hệ phần mềm đáng tin cậy của họ.
