Ảnh minh họa. Cyber Insider

Phát hiện này cho thấy mức độ tinh vi và bài bản hiếm thấy trong thế giới tội phạm mạng, khi DarkSpectre vận hành nhiều chiến dịch song song, phục vụ các mục tiêu khác nhau, từ lừa đảo người dùng cá nhân cho tới hoạt động gián điệp nhằm vào các tổ chức, doanh nghiệp.

Ba chiến dịch lớn được thực hiện bởi một tổ chức duy nhất

Theo điều tra, DarkSpectre triển khai ba chiến dịch chính:

ShadyPanda: lây nhiễm tới khoảng 5,6 triệu người dùng

Zoom Stealer (mới được phát hiện): nhắm vào 2,2 triệu người dùng

GhostPoster: lây nhiễm khoảng 1,05 triệu người dùng

Ban đầu, các chiến dịch này được cho là hoạt động độc lập. Tuy nhiên, giới phân tích xác nhận đây thực chất là một tổ chức tội phạm mạng duy nhất, có cấu trúc chặt chẽ, nguồn lực dồi dào và chiến lược dài hạn, hoạt động ở quy mô tương đương cấp độ quốc gia.

Điểm đặc biệt là nhóm tin tặc này thể hiện sự kiên nhẫn hiếm có: nhiều tiện ích mở rộng (extension) trên trình duyệt được duy trì 5 năm hoặc lâu hơn với chức năng hoàn toàn hợp pháp, trước khi bị “vũ khí hóa” bằng mã độc.

Tên miền hợp pháp, kết nối hạ tầng điều khiển bí mật

Các nhà phân tích của công ty an ninh mạng Koi Security phát hiện mối liên hệ giữa các chiến dịch khi rà soát hạ tầng liên quan tới ShadyPanda. Nhóm DarkSpectre sử dụng hai tên miền hợp pháp là infinitynewtab.com và infinitytab.com để cung cấp các tính năng thật như trang tab mới, tiện ích thời tiết.

Tuy nhiên, chính các tên miền này lại kết nối ngầm tới hệ thống máy chủ điều khiển (C2) độc hại, hoàn toàn tách biệt với phần chức năng hiển thị cho người dùng. Việc cài mã độc song song với chức năng hợp pháp trở thành “sợi chỉ” liên kết cả ba chiến dịch.

Quá trình điều tra được mô tả như lần theo một mạng nhện phức tạp: từ một tiện ích dẫn tới các tên miền mới, rồi tiếp tục phát hiện thêm hàng loạt extension khác do cùng nhóm phát hành. Kết quả, giới nghiên cứu đã xác định hơn 100 tiện ích độc hại có liên quan, xuất hiện trên nhiều kho tiện ích trình duyệt khác nhau.

Hoạt động như “bom hẹn giờ”, né tránh mọi khâu kiểm duyệt

Yếu tố nguy hiểm nhất trong phương thức tấn công của DarkSpectre nằm ở kỹ thuật duy trì lâu dài và né tránh phát hiện cực kỳ tinh vi.

Nhóm này sử dụng cái gọi là “extension bom hẹn giờ” – các tiện ích mở rộng chứa mã độc nhưng mã này ngủ đông trong thời gian dài trước khi kích hoạt. Một ví dụ là extension “New Tab – Customized Dashboard”, chỉ kết nối máy chủ điều khiển sau 3 ngày kể từ khi được cài đặt để tải mã độc thực sự.

Trong giai đoạn kiểm duyệt của các kho extension, tiện ích này hoàn toàn “sạch”, không thể hiện bất kỳ hành vi đáng ngờ nào. Mã độc chỉ được kích hoạt khi extension đã vượt qua mọi vòng kiểm tra và nằm trên trình duyệt của người dùng .

Để tăng khả năng ẩn mình, mã độc chỉ hoạt động trên khoảng 10% số lần tải trang, khiến việc phát hiện qua phân tích thông thường trở nên cực kỳ khó khăn.

Giấu mã độc trong ảnh, điều khiển và kiểm soát từ xa

DarkSpectre còn sử dụng kỹ thuật giấu mã trong ảnh PNG (steganography). Extension tải logo của chính nó, sau đó trích xuất mã JavaScript độc hại được nhúng trong ảnh và âm thầm kích hoạt.

Phần mã này được bảo vệ bằng nhiều lớp che giấu, bao gồm mã hóa tùy chỉnh, thuật toán XOR và các kỹ thuật đóng gói nhằm qua mặt hệ thống phát hiện tự động.

Sau khi kích hoạt, extension tiếp tục tải thêm khoảng 67 KB JavaScript đã mã hóa từ máy chủ của tin tặc. Điều này cho phép DarkSpectre toàn quyền điều khiển hành vi của extension mà không cần cập nhật phiên bản mới vốn sẽ kích hoạt lại quy trình kiểm duyệt.

Chính cách tiếp cận dựa trên cấu hình từ máy chủ này được đánh giá là điểm đột phá trong chiến dịch. Thay vì phát hành bản cập nhật dễ bị phát hiện, tin tặc chỉ cần thay đổi phần mã phản hồi từ mã độc, duy trì sự linh hoạt tuyệt đối và khiến các biện pháp phòng thủ truyền thống gần như vô hiệu.

An Lâm (Theo Cyber Security News)