Các chuyên gia bảo mật vừa phát hiện một hoạt động tấn công mạng quy mô lớn có tên TamperedChef, nơi hacker sử dụng các trình cài đặt phần mềm fake để cài cắm mã độc vào máy tính người dùng.
Theo báo cáo mới nhất từ Acronis Threat Research Unit (TRU), hoạt động này vẫn đang tiếp diễn với việc liên tục xuất hiện các biến thể mới và cơ sở hạ tầng tấn công vẫn đang hoạt động mạnh. Mục tiêu chính của kẻ tấn công là thiết lập khả năng duy trì quyền truy cập và triển khai JavaScript malware để điều khiển hệ thống từ xa.
Hacker vận hành hoạt động này một cách bài bản thông qua kỹ thuật social engineering, lợi dụng tên các ứng dụng phổ biến kết hợp với quảng cáo độc hại và tối ưu hóa công cụ tìm kiếm (SEO). Để gia tăng độ tin cậy và qua mặt các giải pháp bảo mật, chúng sử dụng các chứng chỉ kỹ thuật số được cấp cho các công ty ma đăng ký tại Mỹ, Panama và Malaysia để ký vào các phần mềm giả mạo này. Acronis mô tả hạ tầng của nhóm tấn công này hoạt động theo quy mô công nghiệp, cho phép chúng liên tục tạo ra các chứng chỉ mới ngay khi cái cũ bị thu hồi.
Một kịch bản tấn công điển hình thường bắt đầu khi người dùng tìm kiếm các công cụ như trình chỉnh sửa PDF hoặc sách hướng dẫn sử dụng sản phẩm trên các công cụ tìm kiếm như Bing. Các quảng cáo hoặc đường link độc hại sẽ dẫn nạn nhân đến các tên miền bẫy (thường đăng ký trên NameCheap) để tải xuống trình cài đặt. Sau khi cài đặt và hiển thị thông báo “cảm ơn” để đánh lạc hướng, mã độc sẽ âm thầm thả một file XML tạo ra scheduled task, từ đó kích hoạt một JavaScript backdoor đã được làm rối (obfuscated). Backdoor này sau đó sẽ kết nối với máy chủ bên ngoài qua HTTPS để gửi các dữ liệu định danh thiết bị dưới dạng chuỗi JSON mã hóa.
Dữ liệu đo lường từ Acronis cho thấy Mỹ là quốc gia có tỷ lệ lây nhiễm cao nhất, theo sau là Israel, Tây Ban Nha và Đức. Đặc biệt, các ngành Y tế, Xây dựng và Sản xuất là những mục tiêu chịu ảnh hưởng nặng nề nhất. Nguyên nhân được xác định là do nhân sự trong các lĩnh vực này thường xuyên có nhu cầu tìm kiếm trực tuyến các tài liệu hướng dẫn kỹ thuật chuyên sâu cho thiết bị, một hành vi mà chiến dịch TamperedChef triệt để khai thác.
