Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tin tặc lạm dụng ConnectWise ScreenConnect để cài đặt mã độc bằng kỹ thuật Authenticode Stuffing

17:21 | 27/06/2025
Hồng Đạt

Các nhà nghiên cứu công ty bảo mật phần mềm G Data (Đức) đã lên tiếng cảnh báo về một chiến dịch tấn công mạng tinh vi, trong đó các tin tặc lợi dụng phần mềm truy cập từ xa ConnectWise ScreenConnect để cài đặt phần mềm độc hại đã được ký số hợp lệ.

Kể từ tháng 3/2025, các nhà nghiên cứu ghi nhận sự gia tăng đáng kể của một chiến dịch mới mang tên EvilConwi, theo đó kẻ tấn công sử dụng bản cài đặt ConnectWise đã bị cấu hình lại để triển khai mã độc nhưng vẫn giữ nguyên chữ ký số gốc của nhà phát triển. Đây là một bước tiến nguy hiểm trong việc ngụy trang mã độc dưới dạng phần mềm hợp pháp.

Đến tháng 5/2025, nhiều mẫu mã độc trong chiến dịch này vẫn không bị các phần mềm anti-virus phát hiện, khiến chúng âm thầm hoạt động trên các hệ thống mục tiêu trong một khoảng thời gian mà không để lại dấu vết rõ ràng.

Các tin tặc đã khai thác kẽ hở trong cơ chế xác thực chữ ký số Authenticode trên Windows, kỹ thuật này còn được gọi là Authenticode Stuffing. Đây là một phương pháp tinh vi cho phép chèn nội dung độc hại vào phần mềm hợp pháp (bảng cấu hình), trong khi vẫn giữ nguyên tính xác thực của chữ ký số.

G Data cho biết, họ phát hiện các tệp nhị phân ConnectWise độc ​​hại có giá trị băm giống nhau ngoại trừ bảng cấu hình. Sự khác biệt duy nhất là bảng cấu hình chứng thư số đã được sửa đổi có chứa thông tin cấu hình độc hại mà vẫn cho phép tệp được ký. Các cuộc tấn công lừa đảo này sử dụng PDF hoặc các trang Canva trung gian liên kết đến các tệp thực thi lưu trữ trên máy chủ R2 của Cloudflare (r2[.]dev).

Hình 1. Tệp PDF độc hại trong chiến dịch EvilConwi

Tệp này có tên “Request for Proposal[.]exe”, đây là một ứng dụng ScreenConnect client độc hại để kết nối với máy chủ của kẻ tấn công tại địa chỉ sau: 86[.]38[.]225[.]6:8041 (relay[.]rachael-and-aidan.co[.]uk)

G Data đã phát triển một công cụ trích xuất và phân tích các phát hiện trong chiến dịch này, bao gồm những đoạn cấu hình ẩn trong các mẫu mã độc, nơi các nhà nghiên cứu tìm thấy những thay đổi đáng kể, chẳng hạn như thay đổi tiêu đề của trình cài đặt thành “Windows Update” và hiển thị màn hình giả mạo Windows Update như trong Hình 2.

Hình 2. ConnectWise ScreenConnect client hiển thị màn hình Windows Update giả mạo

Bên cạnh đó, các nhà nghiên cứu còn phát hiện mã độc có thể cho phép cài đặt bí mật và không yêu cầu xác nhận từ người dùng; tự động kết nối về máy chủ điều khiển, sử dụng địa chỉ và cổng mạng được cấu hình sẵn; ngụy trang thành các ứng dụng phổ biến như Chrome, Zoom, Excel; vô hiệu hóa biểu tượng trên hệ thống và thông báo kết nối, khiến hoạt động từ xa không bị phát hiện

Với kỹ thuật Authenticode Stuffing, các phần mềm hợp pháp đều có nguy cơ bị lạm dụng thành công cụ tấn công. Điều này đặt ra một thách thức mới trong công tác bảo mật và phòng thủ trên không gian mạng, nơi chữ ký hợp lệ không còn là dấu hiệu tuyệt đối của sự an toàn.

Twitter Zalo Facebook YouTube Copy Link QR Code
EMAIL LỪA ĐẢO CHÈN MÃ ĐỘC PDF CHIẾN DỊCH EVILCONWI CONNECTWISE PHẦN MỀM ĐỘC HẠI AUTHENTICODE STUFFING CHỮ KÝ SỐ WINDOWS
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết