Được phát hiện bởi nhóm phân tích và nghiên cứu toàn cầu Kaspersky, phần mềm độc hại này được cho là bắt nguồn từ nhóm tin tặc tấn công có chủ đích Turla, với mức độ tin cậy từ trung bình xuống thấp, dựa trên lịch sử của các nạn nhân bị xâm nhập. COMpfun lây nhiễm bằng việc giả danh một đơn xin thị thực visa.
Turla là nhóm tin tặc đến từ Nga, nổi tiếng trong hoạt động gián điệp và các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT) vào các tổ chức chính phủ, đại sứ quán, quân sự, giáo dục, nghiên cứu và các công ty dược phẩm.
Mã độc hại COMpfun được phát hiện lần đầu tiên vào năm 2014 theo báo cáo của G-Data (công ty bảo mật của Đức). Năm 2019, COMpfun đã nhận được một bản nâng cấp có tên gọi Reductor. Kaspersky đã phát hiện ra phần mềm độc hại này khi nó theo dõi hoạt động trình duyệt của người dùng bằng tấn công người đứng giữa (Man in the midle - MitM) trên lưu lượng truy cập web được mã hóa thông qua một tinh chỉnh trong trình tạo số ngẫu nhiên (pseudorandom number generator - PRNG) của trình duyệt.
Cách thức lây nhiễm của COMpfun
Ngoài các chức năng phổ biến của một RAT, biến thể mới này cho phép giám sát hoạt động của bất kỳ thiết bị USB và thực hiện phát tán qua thiết bị. Sau đó, mã độc nhận lệnh từ máy chủ do kẻ tấn công kiểm soát dưới dạng mã trạng thái HTTP.
Nhóm các nhà nghiên cứu cho biết: "Chúng tôi đã quan sát một giao thức truyền thông thú vị qua máy chủ điều khiển (Command and Control – C2) và mã độc là tận dụng mã trạng thái HTTP/HTTPS hiếm gặp. Một số mã trạng thái HTTP (422-429) từ lớp lỗi phía máy khách (Client Error class) cho phép Trojan biết các yêu cầu thực thi. Sau khi máy chủ điều khiển gửi trạng thái “Payment Required” (402), thì tất cả các lệnh đã nhận trước đó sẽ được thực thi".
Một số mã trạng thái HTTP được COMpfun sử dụng
Cùng với đó, mã trạng thái HTTP là các phản hồi được tiêu chuẩn hóa do máy chủ đưa ra để đáp ứng yêu cầu của người dùng gửi đến máy chủ. Bằng cách tạo các lệnh từ xa dưới dạng mã trạng thái, nhằm làm xáo trộn mọi hoạt động độc hại được phát hiện trong khi quét lưu lượng truy cập Internet.
Tác giả của phần mềm độc hại này nắm giữ khóa công khai RSA và HTTP ETag duy nhất trong dữ liệu cấu hình được mã hóa. Nó được tạo để lưu trữ nội dung web, lọc các yêu cầu không mong muốn đối với C2. Để lọc dữ liệu sang C2 qua HTTP/HTTPS, COMpfun sử dụng mã hóa RSA và sử dụng nén LZNT1 với mã hóa XOR một byte để ẩn dữ liệu cục bộ.
Hiện nay, COMpfun vẫn nhằm mục tiêu vào các tổ chức ngoại giao và lựa chọn một ứng dụng liên quan đến việc cấp visa (có tính năng lưu trữ trên một thư mục được chia sẻ trong mạng cục bộ). Với cách tiếp cận phù hợp và mục tiêu cụ thể, COMpfun có thể trở thành một mối nguy hiểm không nhỏ trên không gian mạng trong thời gian tới.
M.H
(The Hacker news)
11:00 | 12/04/2020
13:00 | 07/09/2020
09:00 | 14/04/2020
09:00 | 21/04/2020
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025