Được phát hiện bởi nhóm phân tích và nghiên cứu toàn cầu Kaspersky, phần mềm độc hại này được cho là bắt nguồn từ nhóm tin tặc tấn công có chủ đích Turla, với mức độ tin cậy từ trung bình xuống thấp, dựa trên lịch sử của các nạn nhân bị xâm nhập. COMpfun lây nhiễm bằng việc giả danh một đơn xin thị thực visa.

Turla là nhóm tin tặc đến từ Nga, nổi tiếng trong hoạt động gián điệp và các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT) vào các tổ chức chính phủ, đại sứ quán, quân sự, giáo dục, nghiên cứu và các công ty dược phẩm.

Mã độc hại COMpfun được phát hiện lần đầu tiên vào năm 2014 theo báo cáo của G-Data (công ty bảo mật của Đức). Năm 2019, COMpfun đã nhận được một bản nâng cấp có tên gọi Reductor. Kaspersky đã phát hiện ra phần mềm độc hại này khi nó theo dõi hoạt động trình duyệt của người dùng bằng tấn công người đứng giữa (Man in the midle - MitM) trên lưu lượng truy cập web được mã hóa thông qua một tinh chỉnh trong trình tạo số ngẫu nhiên (pseudorandom number generator - PRNG) của trình duyệt.

Cách thức lây nhiễm của COMpfun

Ngoài các chức năng phổ biến của một RAT, biến thể mới này cho phép giám sát hoạt động của bất kỳ thiết bị USB và thực hiện phát tán qua thiết bị. Sau đó, mã độc nhận lệnh từ máy chủ do kẻ tấn công kiểm soát dưới dạng mã trạng thái HTTP.

Nhóm các nhà nghiên cứu cho biết: "Chúng tôi đã quan sát một giao thức truyền thông thú vị qua máy chủ điều khiển (Command and Control – C2) và mã độc là tận dụng mã trạng thái HTTP/HTTPS hiếm gặp. Một số mã trạng thái HTTP (422-429) từ lớp lỗi phía máy khách (Client Error class) cho phép Trojan biết các yêu cầu thực thi. Sau khi máy chủ điều khiển gửi trạng thái “Payment Required” (402), thì tất cả các lệnh đã nhận trước đó sẽ được thực thi".

Một số mã trạng thái HTTP được COMpfun sử dụng

Cùng với đó, mã trạng thái HTTP là các phản hồi được tiêu chuẩn hóa do máy chủ đưa ra để đáp ứng yêu cầu của người dùng gửi đến máy chủ. Bằng cách tạo các lệnh từ xa dưới dạng mã trạng thái, nhằm làm xáo trộn mọi hoạt động độc hại được phát hiện trong khi quét lưu lượng truy cập Internet.

Tác giả của phần mềm độc hại này nắm giữ khóa công khai RSA và HTTP ETag duy nhất trong dữ liệu cấu hình được mã hóa. Nó được tạo để lưu trữ nội dung web, lọc các yêu cầu không mong muốn đối với C2. Để lọc dữ liệu sang C2 qua HTTP/HTTPS, COMpfun sử dụng mã hóa RSA và sử dụng nén LZNT1 với mã hóa XOR một byte để ẩn dữ liệu cục bộ.

Hiện nay, COMpfun vẫn nhằm mục tiêu vào các tổ chức ngoại giao và lựa chọn một ứng dụng liên quan đến việc cấp visa (có tính năng lưu trữ trên một thư mục được chia sẻ trong mạng cục bộ). Với cách tiếp cận phù hợp và mục tiêu cụ thể, COMpfun có thể trở thành một mối nguy hiểm không nhỏ trên không gian mạng trong thời gian tới.