MinhSec
Writer
ChrimeraWire là một trojan Windows mới vừa được các nhà nghiên cứu của Doctor Web phát hiện. Khác với các loại mã độc chuyên đánh cắp dữ liệu hay mã hóa tệp, ChrimeraWire lại có nhiệm vụ đặc biệt: giả làm người dùng thật để thao túng thứ hạng tìm kiếm trên Google và Bing.
Theo báo cáo, mã độc này được cài vào máy nạn nhân ở giai đoạn cuối của một chuỗi lây nhiễm nhiều lớp. Kẻ tấn công sử dụng các trình tải xuống, kỹ thuật leo thang đặc quyền và chiếm quyền DLL để đưa ChrimeraWire vào hệ thống mà không bị phát hiện.
ChrimeraWire sử dụng một phiên bản Chrome tùy chỉnh được tải từ trang web của bên thứ ba. Trình duyệt này chạy ở chế độ ẩn, kèm theo các tiện ích vượt CAPTCHA để tự động hóa việc tìm kiếm, mở trang web và nhấp liên kết. Tất cả hướng dẫn đều được gửi từ máy chủ điều khiển thông qua WebSocket, gồm từ khóa cần tìm, trang cần mở, số lần click, thời gian dừng giữa mỗi hành động…
Điểm nguy hiểm là mọi thao tác của ChrimeraWire đều được mô phỏng giống người thật: nhấp chuột có xác suất, dừng ngẫu nhiên, xáo trộn vị trí liên kết… Điều này giúp nó vượt qua nhiều cơ chế chống bot hiện nay. Nhờ đó, các trang web mục tiêu có thể nhận được lượng truy cập ảo lớn, cải thiện thứ hạng một cách gian lận trong kết quả tìm kiếm.
Ngoài việc bơm traffic, ChrimeraWire còn sở hữu khả năng đọc nội dung trang, chụp ảnh màn hình và tự động điền biểu mẫu những tính năng chưa được sử dụng hết, nhưng có thể trở thành rủi ro lớn trong tương lai.
Theo Doctor Web, mục đích chính của chiến dịch có thể liên quan đến SEO mờ ám hoặc tiếp thị liên kết. Tuy nhiên, cơ sở hạ tầng phần mềm độc hại cho thấy nhóm vận hành hoàn toàn có thể mở rộng sang thu thập dữ liệu hoặc tự động hóa hành vi tinh vi hơn.
Các chuyên gia khuyến nghị quản trị viên và người dùng nên chú ý đến các dấu hiệu bất thường như Chrome không rõ nguồn gốc chạy cùng hệ thống, các trình tải xuống PowerShell lạ hoặc tác vụ theo lịch trình có liên quan tới Chrome và Python.
Theo báo cáo, mã độc này được cài vào máy nạn nhân ở giai đoạn cuối của một chuỗi lây nhiễm nhiều lớp. Kẻ tấn công sử dụng các trình tải xuống, kỹ thuật leo thang đặc quyền và chiếm quyền DLL để đưa ChrimeraWire vào hệ thống mà không bị phát hiện.
ChrimeraWire sử dụng một phiên bản Chrome tùy chỉnh được tải từ trang web của bên thứ ba. Trình duyệt này chạy ở chế độ ẩn, kèm theo các tiện ích vượt CAPTCHA để tự động hóa việc tìm kiếm, mở trang web và nhấp liên kết. Tất cả hướng dẫn đều được gửi từ máy chủ điều khiển thông qua WebSocket, gồm từ khóa cần tìm, trang cần mở, số lần click, thời gian dừng giữa mỗi hành động…
Điểm nguy hiểm là mọi thao tác của ChrimeraWire đều được mô phỏng giống người thật: nhấp chuột có xác suất, dừng ngẫu nhiên, xáo trộn vị trí liên kết… Điều này giúp nó vượt qua nhiều cơ chế chống bot hiện nay. Nhờ đó, các trang web mục tiêu có thể nhận được lượng truy cập ảo lớn, cải thiện thứ hạng một cách gian lận trong kết quả tìm kiếm.
Ngoài việc bơm traffic, ChrimeraWire còn sở hữu khả năng đọc nội dung trang, chụp ảnh màn hình và tự động điền biểu mẫu những tính năng chưa được sử dụng hết, nhưng có thể trở thành rủi ro lớn trong tương lai.
Theo Doctor Web, mục đích chính của chiến dịch có thể liên quan đến SEO mờ ám hoặc tiếp thị liên kết. Tuy nhiên, cơ sở hạ tầng phần mềm độc hại cho thấy nhóm vận hành hoàn toàn có thể mở rộng sang thu thập dữ liệu hoặc tự động hóa hành vi tinh vi hơn.
Các chuyên gia khuyến nghị quản trị viên và người dùng nên chú ý đến các dấu hiệu bất thường như Chrome không rõ nguồn gốc chạy cùng hệ thống, các trình tải xuống PowerShell lạ hoặc tác vụ theo lịch trình có liên quan tới Chrome và Python.
Nguồn: Hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: