Cảnh báo: Trình cài đặt 7-Zip giả mạo biến thiết bị thành node proxy trái phép
Các nhà nghiên cứu bảo mật vừa phát hiện nhóm tội phạm mạng 'Lurking Lizard' đang sử dụng các trình cài đặt phần mềm giả mạo để biến thiết bị của nạn nhân thành các node trong mạng lưới proxy dân cư...
Một chiến dịch tấn công mạng tinh vi vừa được các chuyên gia từ Infoblox công bố, liên quan đến nhóm tội phạm mạng có tên Lurking Lizard. Nhóm này đã vận hành một hệ thống proxy dân cư bất hợp pháp thông qua hạ tầng gồm hơn 230 tên miền giả mạo, hoạt động từ ít nhất là tháng 8/2022.
Table Of Content
Phương thức hoạt động của Lurking Lizard
Kẻ tấn công sử dụng các trang web giả mạo, điển hình như 7zip[.]com (thay vì tên miền chính thức 7-zip[.]org), để dụ dỗ người dùng tải về các trình cài đặt trojanized. Khi được thực thi, các phần mềm này sẽ âm thầm biến thiết bị của nạn nhân thành một node trong mạng lưới proxy, cho phép kẻ xấu sử dụng địa chỉ IP của người dùng để thực hiện các hành vi tấn công hoặc truy cập trái phép trên internet.
Đáng chú ý, Lurking Lizard còn thực hiện kỹ thuật drop-catching (mua lại các tên miền hết hạn) để tận dụng uy tín sẵn có của chúng. Ngoài 7-Zip, hạ tầng này còn được dùng để phát tán các trình cài đặt giả mạo cho WhatsApp, các công cụ tải video từ TikTok, YouTube và dịch vụ WireVPN.
Mở rộng sang nền tảng di động
Chiến dịch này không chỉ giới hạn ở máy tính để bàn mà đã mở rộng sang các ứng dụng di động. Một ứng dụng Android có tên “wirevpn – Fast Unlimited Proxy” với hơn 1 triệu lượt tải xuống cũng bị nghi ngờ nằm trong hệ sinh thái này. Dù chưa rõ liệu các ứng dụng di động có cùng chức năng làm node proxy như phiên bản desktop hay không, nhưng đây được coi là một kênh thu thập thiết bị nạn nhân mới của nhóm tội phạm.
Hệ sinh thái tội phạm mạng khép kín
Lurking Lizard xây dựng một mô hình kinh doanh hoàn chỉnh: từ việc thu hút nạn nhân thông qua các phần mềm giả mạo, quản lý hạ tầng botnet proxy, cho đến việc tạo ra các trang web đánh giá giả mạo để quảng bá dịch vụ của chính mình. Điều này tạo ra một vòng lặp kiếm tiền bất hợp pháp, gây rủi ro nghiêm trọng cho người dùng khi địa chỉ IP cá nhân bị lợi dụng làm bàn đạp cho các hoạt động tấn công mạng.
Các chuyên gia khuyến cáo người dùng chỉ nên tải phần mềm từ các nguồn chính thống, kiểm tra kỹ tên miền trước khi tải xuống và cảnh giác với các ứng dụng yêu cầu quyền truy cập mạng bất thường. Sự việc này tương tự như chiến dịch NetNut gần đây, nơi hàng triệu thiết bị thông minh bị biến thành công cụ trung gian cho lưu lượng truy cập độc hại.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.