VietNetwork.Vn

Người ta đã phát hiện những kẻ tấn công sử dụng các công cụ và phần mềm trí tuệ nhân tạo (AI) có vẻ hợp pháp để lén lút đưa phần mềm độc hại vào các cuộc tấn công trong tương lai vào các tổ chức trên toàn thế giới.

Theo Trend Micro, chiến dịch này sử dụng các công cụ tăng cường năng suất hoặc AI để phát tán phần mềm độc hại nhắm vào nhiều khu vực khác nhau, bao gồm Châu Âu, Châu Mỹ và khu vực Châu Á, Trung Đông và Châu Phi (AMEA).


Sản xuất, chính phủ, chăm sóc sức khỏe, công nghệ và bán lẻ là một số lĩnh vực bị ảnh hưởng nhiều nhất bởi các cuộc tấn công, trong đó Ấn Độ, Hoa Kỳ, Pháp, Ý, Brazil, Đức, Vương quốc Anh, Na Uy, Tây Ban Nha và Canada nổi lên là những khu vực có nhiều ca nhiễm nhất, cho thấy sự lây lan trên toàn cầu.

Các nhà nghiên cứu bảo mật Jeffrey Francis Bonaobra, Joshua Aquino, Emmanuel Panopio, Emmanuel Roll, Joshua Lijandro Tsang, Armando Nathaniel Pedragoza, Melvin Singwa, Mohammed Malubay và Marco Dela Vega cho biết: "Sự phân phối rộng rãi, nhanh chóng trên nhiều khu vực này cho thấy mạnh mẽ rằng EvilAI không phải là một sự cố riêng lẻ mà là một chiến dịch đang hoạt động và đang phát triển hiện đang diễn ra ngoài tự nhiên".

Trend Micro đặt tên mã cho chiến dịch này là EvilAI, mô tả những kẻ tấn công đứng sau hoạt động này là "rất có năng lực" do khả năng làm mờ ranh giới giữa phần mềm xác thực và phần mềm lừa đảo để phân phối phần mềm độc hại, cũng như khả năng che giấu các tính năng độc hại trong các ứng dụng chức năng khác.

Một số chương trình được phân phối bằng phương pháp này bao gồm AppSuite, Epi Browser, JustAskJacky , Manual Finder, OneStart , PDF Editor, Recipe Lister và Tampered Chef. Một số khía cạnh của chiến dịch đã được Expel, G DATA và TRUESEC ghi chép chi tiết vào tháng trước.

Điều đáng chú ý trong chiến dịch này là những kẻ tấn công đã nỗ lực hết sức để làm cho các ứng dụng này trông có vẻ xác thực và cuối cùng thực hiện hàng loạt hoạt động bất chính sau khi được cài đặt mà không hề gây ra bất kỳ dấu hiệu cảnh báo nào. Sự lừa dối này càng được tăng cường bằng cách sử dụng chứng chỉ chữ ký từ các công ty dùng một lần, khi các chữ ký cũ bị thu hồi.

Trend Micro cho biết: "EvilAI ngụy trang thành các công cụ tăng cường năng suất hoặc AI, với giao diện trông chuyên nghiệp và chữ ký số hợp lệ khiến người dùng và các công cụ bảo mật khó phân biệt được với phần mềm hợp pháp".

Mục tiêu cuối cùng của chiến dịch là tiến hành trinh sát mở rộng, đánh cắp dữ liệu trình duyệt nhạy cảm và duy trì liên lạc được mã hóa theo thời gian thực với các máy chủ chỉ huy và kiểm soát (C2) bằng các kênh được mã hóa AES để nhận lệnh của kẻ tấn công và triển khai các tải trọng bổ sung.

Về cơ bản, nó sử dụng một số phương pháp phát tán, bao gồm sử dụng các trang web mới đăng ký mô phỏng cổng thông tin của nhà cung cấp, quảng cáo độc hại, thao túng SEO và quảng cáo liên kết tải xuống trên diễn đàn và mạng xã hội.

Theo Trend Micro, EvilAI được sử dụng như một công cụ dàn dựng, chủ yếu đóng vai trò là kênh dẫn để có được quyền truy cập ban đầu, thiết lập tính bền bỉ và chuẩn bị hệ thống bị nhiễm cho các tải trọng bổ sung, đồng thời thực hiện các bước để liệt kê phần mềm bảo mật đã cài đặt và cản trở việc phân tích.

"Thay vì dựa vào các tệp độc hại rõ ràng, những trojan này bắt chước giao diện của phần mềm thật để không bị phát hiện trong cả môi trường doanh nghiệp và cá nhân, thường truy cập liên tục trước khi gây ra bất kỳ nghi ngờ nào", công ty cho biết. "Cách tiếp cận hai mục đích này đảm bảo đáp ứng kỳ vọng của người dùng, đồng thời giảm thiểu nguy cơ bị nghi ngờ hoặc điều tra."


Phân tích sâu hơn của G GATA cũng xác định rằng những tác nhân đe dọa đằng sau OneStart, ManualFinder và AppSuite là giống nhau và cơ sở hạ tầng máy chủ được chia sẻ để phân phối và cấu hình tất cả các chương trình này.

Nhà nghiên cứu bảo mật Banu Ramakrishnan cho biết : "Họ đã bán phần mềm độc hại ngụy trang thành trò chơi, công thức in, công cụ tìm công thức, công cụ tìm hướng dẫn sử dụng và gần đây là thêm từ khóa 'AI' để thu hút người dùng".

Expel cho biết các nhà phát triển đứng sau chiến dịch AppSuite và PDF Editor đã sử dụng ít nhất 26 chứng chỉ chữ ký mã được cấp cho các công ty ở Panama và Malaysia, cùng nhiều công ty khác, trong bảy năm qua để làm cho phần mềm của họ có vẻ hợp pháp.

Công ty an ninh mạng đang theo dõi phần mềm độc hại được ký bằng các chứng chỉ này dưới tên BaoLoader, đồng thời cho biết thêm rằng nó khác với TamperedChef, chỉ ra sự khác biệt về hành vi và mẫu chứng chỉ.

"BaoLoader chủ yếu là một cửa hậu cho phép kẻ tấn công thực thi bất cứ điều gì chúng muốn trên hệ thống", Expel nói với The Hacker News. "Chúng tôi tin rằng mục đích chính của chúng cho đến thời điểm này là gian lận quảng cáo. Những kẻ đứng sau phần mềm độc hại hoạt động như một nhà phân phối liên kết cho phần mềm hợp pháp, nhưng đang sử dụng cửa hậu để cài đặt các ứng dụng.

"Các ứng dụng chúng tôi thấy bao gồm tiện ích mở rộng trình duyệt và proxy dân dụng. Chúng tôi đã liên hệ với các tổ chức có phần mềm đang được cài đặt."

Expel cũng chỉ ra rằng EvilAI là một danh mục rộng hơn nhiều, bao gồm BaoLoader cùng với các phần mềm độc hại khác và phần mềm độc hại được phân phối dưới nhãn EvilAI có thể được xem như các chiến dịch riêng biệt, cho thấy đây có thể là một phần của cơ sở hạ tầng lớn hơn nhiều.

"Mỗi chiến dịch phần mềm độc hại đều có nhà phát triển, cơ sở hạ tầng phân phối và mục tiêu riêng", công ty cho biết. "Việc phân biệt chúng giúp chúng tôi hiểu rõ hơn về các rủi ro khác nhau và những kẻ đứng sau chúng."

Điều đáng chú ý là cái tên TamperedChef ban đầu được đặt cho một ứng dụng công thức nấu ăn độc hại được cấu hình để thiết lập kênh liên lạc bí mật với máy chủ từ xa và nhận các lệnh tạo điều kiện cho việc đánh cắp dữ liệu.

Một khía cạnh khác đáng đề cập ở đây là phần mềm độc hại mà TRUESEC theo dõi dưới dạng TamperedChef thực chất là BaoLoader. Phần mềm độc hại này, như đã được G DATA nêu bật trước đó , bao gồm một thành phần cửa hậu cốt lõi cung cấp chức năng chính, bao gồm cả việc tạo điều kiện cho gian lận quảng cáo.

Công ty chỉ ra rằng : "TamperedChef đã sử dụng chứng chỉ ký mã được cấp cho các công ty ở Ukraine và Anh trong khi BaoLoader liên tục sử dụng chứng chỉ từ Panama và Malaysia".

Và đó chưa phải là tất cả. Field Effect và GuidePoint Security kể từ đó đã phát hiện thêm nhiều tệp nhị phân được ký số giả mạo công cụ xem lịch và hình ảnh, đồng thời sử dụng nền tảng máy tính để bàn NeutralinoJS để thực thi mã JavaScript tùy ý và đánh cắp dữ liệu nhạy cảm. Expel cho biết các ứng dụng này triển khai phần mềm độc hại TamperedChef ban đầu.

"Việc sử dụng NeutralinoJS để thực thi các payload JavaScript và tương tác với các API hệ thống gốc cho phép truy cập hệ thống tệp, tạo quy trình và giao tiếp mạng một cách bí mật", Field Effect cho biết. "Việc phần mềm độc hại sử dụng ký tự tượng hình Unicode để mã hóa các payload trong các phản hồi API tưởng chừng như vô hại đã cho phép nó vượt qua việc phát hiện dựa trên chuỗi và đối chiếu chữ ký."

Công ty an ninh mạng Canada cho biết sự hiện diện của một số nhà xuất bản chữ ký mã trên nhiều mẫu cho thấy có một nhà cung cấp dịch vụ phần mềm độc hại chung hoặc một thị trường chữ ký mã tạo điều kiện cho việc phân phối rộng rãi.

"Chiến dịch TamperedChef cho thấy cách các tác nhân đe dọa đang phát triển cơ chế phân phối của chúng bằng cách biến các ứng dụng có khả năng không mong muốn thành vũ khí, lạm dụng chữ ký số và triển khai các kỹ thuật mã hóa bí mật", báo cáo cho biết. "Những chiến thuật này cho phép phần mềm độc hại ngụy trang thành phần mềm hợp pháp, vượt qua các biện pháp phòng thủ điểm cuối và lợi dụng lòng tin của người dùng."