Chiến dịch mã độc DeerStealer: Khi tệp shortcut vô hại trở thành công cụ đánh cắp dữ liệu

[WhiteHat Team]

Một chiến dịch tấn công mạng mới vừa bị các chuyên gia an ninh mạng phát hiện, sử dụng tệp shortcut Windows (.LNK) tưởng chừng vô hại, để phát tán mã độc đánh cắp thông tin DeerStealer. Chiến dịch này không chỉ tinh vi về mặt kỹ thuật mà còn đánh trúng vào một lỗ hổng lớn trong hành vi người dùng, thói quen mở các tệp “báo cáo”, “đơn hàng” hay “hóa đơn” được gửi kèm qua email mà không kiểm tra kỹ.
​

Hiện chưa có nhóm tấn công cụ thể nào đứng ra nhận trách nhiệm cho chiến dịch phát tán DeerStealer. Tuy nhiên, mức độ tinh vi của các kỹ thuật được sử dụng cho thấy đây là một chiến dịch được đầu tư bài bản, có chủ đích và nhắm vào các cá nhân hoặc tổ chức sở hữu dữ liệu nhạy cảm, như: Tài khoản mạng xã hội, ví tiền điện tử, tài khoản email hoặc dữ liệu nội bộ công ty.

Cuộc tấn công bắt đầu bằng một tệp shortcut có tên như “Report.lnk” được ngụy trang dưới dạng báo cáo hay tài liệu. Khi người dùng nhấp (click) vào, tập tin này âm thầm kích hoạt một công cụ có sẵn trong Windows là "mshta.exe" (vốn dùng để chạy các ứng dụng HTML) để thực thi các đoạn mã độc được ẩn giấu bên trong.

Quá trình này không dừng lại ở đó. Mshta khởi chạy tiếp "cmd.exe" rồi đến PowerShell, nơi hàng loạt mã độc được giải mã từng bước từ dạng mã hóa Base64. Thậm chí, các đoạn script còn được thiết kế để tắt tính năng ghi nhật ký và theo dõi hành vi của PowerShell, khiến việc phát hiện gần như không thể bằng các công cụ bảo mật thông thường.

Một trong những chiêu thức đánh lừa người dùng tinh vi nhất của chiến dịch này là ngay sau khi nhấp mở tệp ".LNK", một tài liệu PDF giả sẽ được tải về và mở bằng Adobe Reader. Trong lúc người dùng đang xem tài liệu, mã độc DeerStealer đã âm thầm được ghi vào thư mục %AppData% và kích hoạt trong nền.

Các địa chỉ tải mã độc được tạo từ chuỗi ký tự bị xáo trộn, giúp chúng tránh được các công cụ lọc dựa trên chỉ số IOC (Indicators of Compromise). Thậm chí, mã độc còn kiểm tra vị trí chính xác của mshta.exe trên từng máy bị lây nhiễm thay vì dùng đường dẫn cố định, khiến việc phát hiện càng thêm khó khăn.

Các nhà nghiên cứu từ nền tảng phân tích mã độc "ANY.RUN" đã theo dõi toàn bộ chuỗi tấn công theo thời gian thực và cho biết:​

• Chiến dịch sử dụng nhiều lớp mã hóa và kỹ thuật “sống nhờ hệ thống” (LOLBin) như mshta.exe, PowerShell​
• Mã độc có thể tự điều chỉnh hành vi tùy vào môi trường để tránh bị phát hiện​
• Có khả năng mở rộng quy mô nhanh chóng nếu được tự động hóa qua spam email hoặc công cụ phishing​

Đối với người dùng cá nhân và doanh nghiệp, đây là lúc cần nâng cao cảnh giác với mọi tệp đính kèm ".LNK", kể cả khi tên tệp nghe có vẻ "hợp lý" như "report", "invoice", "contract"...

Khuyến nghị:​

• Cảnh báo người dùng không mở file .LNK, .zip, .exe lạ, đặc biệt qua email.​
• Tăng cường giám sát hành vi PowerShell, mshta.exe và shortcut bất thường bằng EDR, Sysmon hoặc Wazuh.​
• Cập nhật IOC và kỹ thuật tấn công mới vào SIEM để phát hiện sớm, đặc biệt các chỉ số liên quan đến DeerStealer.​
• Giới hạn quyền tạo Scheduled Task, giám sát Registry Run để giảm khả năng malware bám trụ.​
• Tắt hoặc hạn chế sử dụng mshta.exe nếu không cần thiết​
• Cập nhật phần mềm chống virus và bật tính năng phân tích hành vi (behavioral analysis)​
• Với doanh nghiệp, nên triển khai hệ thống giám sát real-time và kiểm tra sâu hoạt động PowerShell trong hệ thống nội bộ​
• Tổ chức huấn luyện nội bộ về nhận diện file shortcut độc hại và các kỹ thuật lừa đảo hiện đại.​

Đây là hình thức tấn công khó phát hiện và gây hậu quả nghiêm trọng, là lời nhắc nhở rõ ràng rằng một tập tin nhỏ gọn như ".LNK" cũng có thể là cửa ngõ để tin tặc xâm nhập và đánh cắp toàn bộ dữ liệu cá nhân hoặc doanh nghiệp. Trong một thế giới mà mã độc ngày càng tinh vi, mọi cú click đều cần đi kèm với sự cảnh giác.​

WhiteHat​