-
09/04/2020
-
109
-
992 bài viết
Chiến dịch mã độc Oyster giả công cụ IT, phát tán qua quảng cáo độc hại
Một chiến dịch phát tán mã độc qua quảng cáo độc hại (malvertising) đang gia tăng mạnh mẽ trong tháng 7/2025, nhắm thẳng vào nhân viên IT và quản trị viên hệ thống. Mục tiêu là phát tán một loại backdoor nguy hiểm có tên Oyster, từng được biết tới dưới các bí danh như Broomstick hoặc CleanupLoader.
Theo các chuyên gia từ Arctic Wolf và CyberProof, mã độc Oyster đã quay trở lại với chiến thuật tinh vi hơn. Nó giả dạng công cụ nổi tiếng (là những phần mềm được các IT Admin tải về thường xuyên), như: PuTTY, KeePass, WinSCP...
Kẻ tấn công dùng SEO độc hại (SEO poisoning) và quảng cáo giả (malvertising) để đưa các link nhiễm độc lên top Google hoặc Bing, khiến người dùng dễ click nhầm.
Một trường hợp điển hình được phát hiện khi một người dùng tải file “PuTTY-setup.exe” từ trang "danielaurel. tv". Mặc dù trông như file hợp pháp, thực tế nó đã bị cấy mã độc.
Trong môi trường phân tích sandbox (ANY.RUN), các nhà nghiên cứu phát hiện:
Một điểm đáng lo là kẻ tấn công lạm dụng các chứng chỉ chữ ký số đã bị thu hồi, nhưng vẫn được một số phần mềm bảo mật chấp nhận. Đây là chiêu trò ngày càng phổ biến, giúp mã độc dễ “qua mặt” các lớp bảo vệ sơ cấp. Điều này cho thấy nhiều tổ chức vẫn chưa có hệ thống kiểm tra độ tin cậy của chữ ký số một cách đầy đủ, nhất là với các endpoint thông thường.
Chiến dịch này không chỉ là lẻ tẻ. Theo ghi nhận, hệ thống nhiễm Oyster thường bị tiếp tục khai thác để đánh cắp dữ liệu và phát tán ransomware, gây thiệt hại lớn cho cả doanh nghiệp lẫn cá nhân.
Khi mục tiêu là các IT Admin thì chỉ một cú click nhầm có thể khiến toàn bộ mạng nội bộ bị đánh sập.
Các chuyên gia đưa ra loạt khuyến nghị phòng tránh:
Đây là hồi chuông cảnh tỉnh cho cả cá nhân và tổ chức, đừng để thói quen tải phần mềm “cho nhanh” trở thành cửa ngõ cho hacker kiểm soát cả hệ thống.
Theo các chuyên gia từ Arctic Wolf và CyberProof, mã độc Oyster đã quay trở lại với chiến thuật tinh vi hơn. Nó giả dạng công cụ nổi tiếng (là những phần mềm được các IT Admin tải về thường xuyên), như: PuTTY, KeePass, WinSCP...
Kẻ tấn công dùng SEO độc hại (SEO poisoning) và quảng cáo giả (malvertising) để đưa các link nhiễm độc lên top Google hoặc Bing, khiến người dùng dễ click nhầm.
Một trường hợp điển hình được phát hiện khi một người dùng tải file “PuTTY-setup.exe” từ trang "danielaurel. tv". Mặc dù trông như file hợp pháp, thực tế nó đã bị cấy mã độc.
Trong môi trường phân tích sandbox (ANY.RUN), các nhà nghiên cứu phát hiện:
- File được ký bằng chứng chỉ số hóa đã bị thu hồi khiến nhiều hệ thống vẫn tin tưởng file mà không phát cảnh báo.
- Khi chạy, file cài đặt thêm một file DLL độc hại (“zqin.dll”) vào hệ thống và kích hoạt bằng rundll32.exe - kỹ thuật thường dùng để tránh bị phần mềm diệt virus phát hiện.
- Mã độc còn tạo một Scheduled Task giả tên “FireFox Agent INC”, cứ 3 phút lại chạy lại DLL, đảm bảo duy trì hoạt động liên tục kể cả khi người dùng tắt máy hoặc đăng xuất.
- Lấy cắp thông tin đăng nhập và mật khẩu.
- Tải thêm mã độc khác vào máy.
- Mở kết nối điều khiển từ xa (remote shell).
- Gửi dữ liệu nhạy cảm về máy chủ của hacker.
Một điểm đáng lo là kẻ tấn công lạm dụng các chứng chỉ chữ ký số đã bị thu hồi, nhưng vẫn được một số phần mềm bảo mật chấp nhận. Đây là chiêu trò ngày càng phổ biến, giúp mã độc dễ “qua mặt” các lớp bảo vệ sơ cấp. Điều này cho thấy nhiều tổ chức vẫn chưa có hệ thống kiểm tra độ tin cậy của chữ ký số một cách đầy đủ, nhất là với các endpoint thông thường.
Chiến dịch này không chỉ là lẻ tẻ. Theo ghi nhận, hệ thống nhiễm Oyster thường bị tiếp tục khai thác để đánh cắp dữ liệu và phát tán ransomware, gây thiệt hại lớn cho cả doanh nghiệp lẫn cá nhân.
Khi mục tiêu là các IT Admin thì chỉ một cú click nhầm có thể khiến toàn bộ mạng nội bộ bị đánh sập.
Các chuyên gia đưa ra loạt khuyến nghị phòng tránh:
- Tuyệt đối không tải phần mềm từ quảng cáo hoặc link tìm kiếm, kể cả khi trông rất hợp lý.
- Chỉ nên dùng trang chính thức của nhà cung cấp phần mềm hoặc kho nội bộ đã kiểm tra.
- Doanh nghiệp nên cấu hình lại hệ thống xác thực mã số đảm bảo chứng chỉ thu hồi không còn được tin tưởng.
- Giám sát định kỳ các Scheduled Task lạ và các tiến trình như rundll32.exe chạy DLL ngoài hệ thống.
- Dùng EDR (Endpoint Detection & Response) có khả năng phát hiện kỹ thuật DLL side-loading hoặc hành vi bất thường.
Đây là hồi chuông cảnh tỉnh cho cả cá nhân và tổ chức, đừng để thói quen tải phần mềm “cho nhanh” trở thành cửa ngõ cho hacker kiểm soát cả hệ thống.