Mã độc VKontakte: Nguy hiểm chiếm quyền điều khiển tài khoản

Hơn nửa triệu người dùng VKontakte đã trở thành nạn nhân của một chiến dịch mã độc tinh vi. Chiến dịch này thực hiện việc chiếm đoạt tài khoản một cách lặng lẽ thông qua các tiện ích mở rộng Chrome tưởng chừng vô hại.

Các tiện ích mở rộng độc hại, ngụy trang dưới dạng công cụ tùy chỉnh giao diện VK, tự động đăng ký người dùng vào các nhóm do kẻ tấn công kiểm soát. Chúng cũng đặt lại cài đặt tài khoản sau mỗi 30 ngày và thao túng token bảo mật để duy trì quyền kiểm soát liên tục.

Nội dung

Chiến dịch mã độc tinh vi nhắm mục tiêu VKontakte

Kỹ thuật lây nhiễm và lẩn tránh

Cơ chế chiếm quyền điều khiển tài khoản liên tục

Chỉ số xâm nhập (IOCs) và Khuyến nghị

Chỉ số xâm nhập (IOCs)

Khuyến nghị bảo mật cho tổ chức

Khuyến nghị cho người dùng

Chiến dịch mã độc tinh vi nhắm mục tiêu VKontakte

Những phần mềm tùy chỉnh chủ đề đơn giản này thực chất là một hoạt động chiếm quyền tài khoản đa giai đoạn. Mục tiêu của chúng là mạng xã hội lớn nhất khu vực.

Chiến dịch xoay quanh năm tiện ích mở rộng Chrome chia sẻ cùng một cơ sở hạ tầng độc hại. Riêng tiện ích mở rộng chính có tên “VK Styles” đã tích lũy 400.000 lượt cài đặt trước khi bị gỡ bỏ.

Kỹ thuật lây nhiễm và lẩn tránh

Mã độc hoạt động thông qua một hệ thống phân phối hai giai đoạn thông minh. Phương pháp này giúp chúng né tránh các công cụ quét bảo mật truyền thống.

Thay vì nhúng trực tiếp mã độc vào tiện ích mở rộng, kẻ tấn công sử dụng một hồ sơ VKontakte làm cơ sở hạ tầng chỉ huy và kiểm soát (C2). Các URL tải trọng được ẩn trong các thẻ siêu dữ liệu HTML mà tiện ích mở rộng tìm nạp và thực thi.

Các nhà nghiên cứu tại Koi đã xác định mối đe dọa tinh vi này trong quá trình điều tra các tiện ích mở rộng tiêm script quảng cáo Yandex.

Phân tích của họ tiết lộ rằng mã độc tính toán các định danh metric một cách linh hoạt. Kỹ thuật này nhằm tránh bị phát hiện bởi các công cụ bảo mật dựa trên việc khớp mẫu.

Các tiện ích mở rộng sử dụng các hàm JavaScript bị che giấu để thực thi mã tùy ý. Mã này được tìm nạp từ một kho lưu trữ GitHub do kẻ đe dọa vận hành dưới tên người dùng “2vk” kiểm soát.

Cơ chế lây nhiễm này thể hiện các kỹ thuật lẩn tránh tiên tiến. Khi người dùng cài đặt các tiện ích mở rộng này với niềm tin chúng cải thiện trải nghiệm VK, mã độc sẽ thiết lập sự bền bỉ. Chúng thực hiện điều này bằng cách tiêm mã vào mọi trang VK được truy cập.

Tiếp theo, mã độc truy xuất các hướng dẫn được mã hóa từ siêu dữ liệu hồ sơ VK của kẻ tấn công. Những hướng dẫn này chỉ đạo tiện ích mở rộng tải xuống các tải trọng bổ sung từ GitHub. Phương pháp này cho phép kẻ đe dọa cập nhật chức năng độc hại mà không cần sửa đổi mã tiện ích mở rộng, qua đó bỏ qua các đánh giá bảo mật của Chrome Web Store.

Chiến dịch tấn công mạng này đặt ra một rủi ro bảo mật nghiêm trọng cho hàng trăm ngàn tài khoản.

Cơ chế chiếm quyền điều khiển tài khoản liên tục

Mã độc thao túng các cookie bảo vệ CSRF (Cross-Site Request Forgery) của VK để vượt qua các cơ chế bảo mật. Các cơ chế này được thiết kế để ngăn chặn các hành động tài khoản trái phép.

Nó tự động đăng ký nạn nhân vào nhóm VK của kẻ tấn công với xác suất 75% trong mỗi phiên. Điều này tạo ra một mạng lưới phân phối tự lan truyền hiệu quả.

Cứ sau 30 ngày, mã độc sẽ đặt lại cài đặt tài khoản. Hành động này nhằm ghi đè các tùy chọn của người dùng và duy trì quyền kiểm soát.

Hoạt động này đã diễn ra liên tục trong bảy tháng từ tháng 6 đến tháng 1. Lịch sử commit trên GitHub cho thấy sự tinh chỉnh và bổ sung tính năng có chủ đích trong suốt thời gian đó.

Mã độc được thiết kế để duy trì sự bền bỉ và kiểm soát tài khoản người dùng trong thời gian dài, gây ra mối lo ngại về an toàn thông tin.

Chỉ số xâm nhập (IOCs) và Khuyến nghị

Để phát hiện và ứng phó với chiến dịch mã độc này, các tổ chức và người dùng có thể tham khảo các chỉ số xâm nhập và khuyến nghị dưới đây.

Chỉ số xâm nhập (IOCs)

Tiện ích mở rộng độc hại đã biết: VK Styles (và các biến thể sử dụng cùng hạ tầng)
Tên người dùng GitHub của kẻ đe dọa: 2vk

Khuyến nghị bảo mật cho tổ chức

Các đội ngũ bảo mật nên thực hiện các biện pháp sau để giảm thiểu rủi ro bảo mật từ các cuộc tấn công tương tự:

Kiểm tra tiện ích mở rộng trình duyệt: Thường xuyên kiểm tra và kiểm toán các tiện ích mở rộng được cài đặt trong môi trường doanh nghiệp.
Giám sát hoạt động API VK bất thường: Theo dõi các yêu cầu API VK bất thường từ các tài khoản người dùng hoặc hệ thống.
Triển khai chính sách Allowlisting tiện ích mở rộng: Áp dụng chính sách chỉ cho phép các tiện ích mở rộng đã được phê duyệt.

Khuyến nghị cho người dùng

Người dùng trải qua các sự cố như tự động đăng ký nhóm hoặc thay đổi cài đặt không mong muốn nên hành động ngay lập tức:

Gỡ bỏ tiện ích mở rộng đáng ngờ: Ngay lập tức gỡ bỏ bất kỳ tiện ích mở rộng nào liên quan đến VK mà bạn nghi ngờ.
Kiểm tra quyền của tiện ích mở rộng Chrome: Thường xuyên xem xét và điều chỉnh quyền mà các tiện ích mở rộng Chrome yêu cầu.

Việc nâng cao nhận thức và tuân thủ các biện pháp bảo mật là chìa khóa để bảo vệ khỏi các chiến dịch mã độc ngày càng tinh vi.

Để biết thêm chi tiết về cách các công cụ quét bảo mật web bị né tránh, bạn có thể tham khảo Web Security Scanners: Why Attackers Often Bypass Them.

Phân tích sâu hơn về phát hiện mối đe dọa này được cung cấp bởi Koi AI tại VK Styles: 500K Users Infected by Chrome Extensions That Hijack VKontakte Accounts.