Trojan ẩn trong PDF Editor: Khi công cụ văn phòng biến thành cổng proxy tội phạm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
110
1.064 bài viết
Trojan ẩn trong PDF Editor: Khi công cụ văn phòng biến thành cổng proxy tội phạm
WhiteHat Team
Một phần mềm chỉnh sửa PDF miễn phí phổ biến gần đây bị phát hiện đang lợi dụng thiết bị người dùng để thực hiện các hoạt động web trái phép, biến chúng thành các nút proxy phục vụ cho mạng botnet do tin tặc điều khiển.

PDF Editor.png

Bề ngoài, PDF Editor này có vẻ hợp pháp, hiển thị hộp thoại minh bạch thông báo về việc sử dụng tài nguyên thiết bị và địa chỉ IP cho “tải dữ liệu web công cộng”. Tuy nhiên, ẩn sau lời mời này là một Trojan tinh vi, triển khai các kết nối liên tục và biến thiết bị thành nút proxy phục vụ cho mạng điều khiển từ xa (C2) của tin tặc.

Khi được cài đặt, payload Trojan hoạt động mà không cần tương tác của người dùng. Đây là trình cài đặt “âm thầm”, khó bị phát hiện bởi các cơ chế bảo vệ endpoint truyền thống. Một số hành vi kỹ thuật đáng chú ý bao gồm:
  • Khả năng tồn tại lâu dài: Trojan chỉnh sửa registry và cài đặt các tiến trình nền để duy trì quyền truy cập sau mỗi lần khởi động, che giấu hoạt động dưới danh nghĩa các chức năng PDF hợp pháp, khiến việc gỡ bỏ trở nên khó khăn.
  • Kết nối mạng: Ngay sau khi triển khai, thiết bị bị nhiễm tạo các kết nối ra các máy chủ tổng hợp proxy, dùng IP dân dụng để trung chuyển lưu lượng độc hại, bao gồm cả rút trộm dữ liệu ẩn danh và che giấu dấu vết cho các chiến dịch tội phạm.
  • Thực thi đa giai đoạn: Trojan liên tục kiểm tra payload mới hoặc lệnh từ server C2, cho phép cập nhật chức năng từ tham gia tấn công DDoS đến thu thập thông tin đăng nhập.
  • Tương tác dữ liệu: Mặc dù truy cập dữ liệu trực tiếp ít, malware có thể chèn script hoặc thao túng lưu lượng mạng từ các host bị nhiễm, tăng tính ẩn danh của proxy hoặc chặn dữ liệu nhạy cảm.
Chiến dịch này khai thác niềm tin của người dùng vào các ứng dụng hỗ trợ công việc hàng ngày. Bằng cách nhúng mã mạng độc hại trực tiếp vào ứng dụng PDF được ký và phân phối chính thức, tin tặc tránh được các cơ chế whitelisting và phát hiện phần mềm truyền thống. Khi số lượng thiết bị bị chiếm đoạt đủ lớn, hacker có thể vận hành một cơ sở hạ tầng botnet quy mô, phục vụ cho các mục tiêu như điều hướng IP dân dụng cho ẩn danh tội phạm, thực hiện spam, DDoS, credential stuffing, thu thập và trích xuất dữ liệu nhắm mục tiêu.

Để hạn chế rủi ro, người dùng và tổ chức được khuyến cáo:
  • Đọc kỹ điều khoản phần mềm miễn phí và giám sát lưu lượng mạng bất thường.
  • Triển khai cơ chế phát hiện endpoint mới nhất để phát hiện các kỹ thuật tồn tại lâu dài của malware.
  • Tùy chọn từ chối dịch vụ proxy có thể ngăn chặn việc sử dụng thiết bị làm proxy, nhưng không luôn xóa sạch Trojan. Việc loại bỏ hoàn toàn có thể cần các công cụ dọn malware chuyên biệt và kiểm tra registry.
Khám phá này nhấn mạnh tầm quan trọng của việc xác minh nguồn gốc phần mềm và giám sát hành vi thiết bị, ngay cả với các công cụ phổ biến như PDF Editor. Tin tặc ngày càng tinh vi, kết hợp các câu chuyện hợp pháp với triển khai mạng botnet ẩn mình, đặt ra thách thức lớn cho bảo mật cá nhân và tổ chức.

Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • SteelFox Trojan - Phần mềm độc hại biến PC thành "Zombie" đào tiền điện tử
  • Trojan GoldDigger nhắm mục tiêu vào ứng dụng ngân hàng ở các nước Châu Á
  • Phát hiện ứng dụng trên Cửa hàng Google Play phân phối Trojan ngân hàng Xenomorph
  • Trojan SOVA quay trở lại với các khả năng và mục tiêu mới
  • Mobile Banking Trojan BRATA có thêm tính năng nguy hiểm mới
  • Hơn 300.000 thiết bị Android bị trojan nhắm mục tiêu
    • Thẻ
    pdf editor trojan
    Bên trên