-
09/04/2020
-
141
-
2.011 bài viết
Hacker dựng hơn 90 website giả để phát tán AsyncRAT qua Google và Bing
Việc tìm kiếm và tải phần mềm trên Internet là thói quen của hàng triệu người dùng mỗi ngày. Tuy nhiên, các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công quy mô lớn lợi dụng chính thói quen này để phát tán mã độc.
Thay vì khai thác lỗ hổng bảo mật hay gửi email lừa đảo, nhóm tấn công xây dựng hàng chục website giả mạo các phần mềm phổ biến, sau đó sử dụng kỹ thuật tối ưu hóa công cụ tìm kiếm (SEO) để đưa những trang web này xuất hiện ở vị trí cao trên Google và Bing, khiến người dùng dễ dàng trở thành nạn nhân.
Theo báo cáo từ Kaspersky, chiến dịch hiện sử dụng hơn 90 tên miền giả mạo bằng nhiều ngôn ngữ khác nhau để phát tán bộ cài chứa mã độc. Sau khi người dùng tải và chạy các tập tin này, máy tính sẽ lần lượt bị cài đặt phần mềm điều khiển từ xa ScreenConnect và trojan AsyncRAT, cho phép tin tặc âm thầm chiếm quyền kiểm soát thiết bị, đánh cắp dữ liệu và theo dõi hoạt động của nạn nhân.
Chiến dịch được phát hiện như thế nào?
Chiến dịch được phát hiện bởi các nhà nghiên cứu của Kaspersky trong quá trình theo dõi các hoạt động phát tán mã độc trên Internet.
Theo Kaspersky, đây là một chiến dịch có quy mô lớn với nhiều tên miền và nhiều ngôn ngữ khác nhau. Nhóm nghiên cứu đã xác định hơn 90 tên miền giả mạo các website tải phần mềm hợp pháp, được bản địa hóa bằng ít nhất 10 ngôn ngữ, gồm tiếng Anh, Nga, Trung Quốc, Đức, Pháp, Tây Ban Nha, Bồ Đào Nha và Ả Rập. Một số tên miền đã được đăng ký từ tháng 8/2025 đến tháng 3/2026, cho thấy chiến dịch được chuẩn bị trong thời gian dài trước khi được triển khai.
Mục tiêu của tin tặc không chỉ là người dùng cá nhân mà còn bao gồm các doanh nghiệp, nơi nhân viên thường xuyên tải các công cụ phục vụ công việc từ Internet.
Theo Kaspersky, đây là một chiến dịch có quy mô lớn với nhiều tên miền và nhiều ngôn ngữ khác nhau. Nhóm nghiên cứu đã xác định hơn 90 tên miền giả mạo các website tải phần mềm hợp pháp, được bản địa hóa bằng ít nhất 10 ngôn ngữ, gồm tiếng Anh, Nga, Trung Quốc, Đức, Pháp, Tây Ban Nha, Bồ Đào Nha và Ả Rập. Một số tên miền đã được đăng ký từ tháng 8/2025 đến tháng 3/2026, cho thấy chiến dịch được chuẩn bị trong thời gian dài trước khi được triển khai.
Mục tiêu của tin tặc không chỉ là người dùng cá nhân mà còn bao gồm các doanh nghiệp, nơi nhân viên thường xuyên tải các công cụ phục vụ công việc từ Internet.
SEO Poisoning - Công cụ tìm kiếm trở thành "cầu nối" phát tán mã độc
Khác với những chiến dịch lừa đảo truyền thống sử dụng email hoặc tin nhắn giả mạo, chiến dịch lần này lợi dụng kỹ thuật SEO Poisoning (đầu độc kết quả tìm kiếm).
Đây là phương thức mà kẻ tấn công tạo các website giả mạo, sau đó tối ưu hóa nội dung hoặc sử dụng các thủ thuật SEO để những website này xuất hiện ở vị trí nổi bật trên Google, Bing và các công cụ tìm kiếm khác.
Khi người dùng tìm kiếm tên các phần mềm quen thuộc như OBS Studio, Bandicam, DNS Jumper hay DS4Windows, họ có thể vô tình truy cập vào website giả vì giao diện và tên miền được thiết kế rất giống trang chính thức.
Điểm nguy hiểm là trong trường hợp này, nạn nhân chủ động tìm kiếm và tải phần mềm, khiến quá trình lây nhiễm trở nên tự nhiên hơn và ít gây nghi ngờ hơn so với email lừa đảo.
Đây là phương thức mà kẻ tấn công tạo các website giả mạo, sau đó tối ưu hóa nội dung hoặc sử dụng các thủ thuật SEO để những website này xuất hiện ở vị trí nổi bật trên Google, Bing và các công cụ tìm kiếm khác.
Khi người dùng tìm kiếm tên các phần mềm quen thuộc như OBS Studio, Bandicam, DNS Jumper hay DS4Windows, họ có thể vô tình truy cập vào website giả vì giao diện và tên miền được thiết kế rất giống trang chính thức.
Điểm nguy hiểm là trong trường hợp này, nạn nhân chủ động tìm kiếm và tải phần mềm, khiến quá trình lây nhiễm trở nên tự nhiên hơn và ít gây nghi ngờ hơn so với email lừa đảo.
Tin tặc lợi dụng những phần mềm phổ biến nào?
Các website giả mạo chủ yếu mạo danh những phần mềm miễn phí được sử dụng rộng rãi như:
- OBS Studio
- Bandicam
- DNS Jumper
- DS4Windows
- cùng nhiều phần mềm phổ biến khác.
Đây đều là những ứng dụng có lượng người dùng lớn, từ game thủ, nhà sáng tạo nội dung cho đến nhân viên kỹ thuật và doanh nghiệp. Việc lựa chọn các phần mềm quen thuộc giúp tin tặc tăng đáng kể khả năng người dùng tải xuống bộ cài độc hại mà không nghi ngờ.
Phân tích quá trình tấn công
Theo Kaspersky, chuỗi tấn công được xây dựng theo nhiều giai đoạn nhằm hạn chế khả năng bị phát hiện và duy trì quyền kiểm soát lâu dài trên thiết bị nạn nhân.
Giai đoạn 1: Phát tán bộ cài giả mạo
Sau khi truy cập website giả, người dùng tải về một tệp nén được quảng bá là bộ cài của phần mềm mong muốn.
Bên trong gói cài đặt không chỉ có phần mềm hợp pháp mà còn chứa:
Bên trong gói cài đặt không chỉ có phần mềm hợp pháp mà còn chứa:
- install.exe – chương trình cài đặt hợp pháp đã được Microsoft ký số;
- install.res.1033.dll – thư viện DLL độc hại do hacker tạo ra.
Việc kết hợp một tệp hợp pháp với thư viện độc hại giúp tăng độ tin cậy của bộ cài và giảm khả năng bị người dùng nghi ngờ.
Giai đoạn 2: Lợi dụng kỹ thuật DLL Side-Loading
Khi người dùng chạy "install.exe", Windows sẽ tự động nạp thư viện "install.res.1033.dll" nằm cùng thư mục. Tin tặc đã lợi dụng cơ chế này thông qua kỹ thuật DLL Side-Loading, khiến chương trình hợp pháp vô tình thực thi mã độc.
Đây là một kỹ thuật rất phổ biến vì mã độc được chạy dưới tiến trình đã được ký số, khiến nhiều giải pháp bảo mật khó phát hiện hơn so với việc chạy trực tiếp một chương trình độc hại.
Đây là một kỹ thuật rất phổ biến vì mã độc được chạy dưới tiến trình đã được ký số, khiến nhiều giải pháp bảo mật khó phát hiện hơn so với việc chạy trực tiếp một chương trình độc hại.
Giai đoạn 3: Triển khai ScreenConnect để thiết lập quyền truy cập từ xa
Sau khi DLL được thực thi, thành phần đầu tiên được cài đặt là ScreenConnect. Đây vốn là phần mềm điều khiển máy tính từ xa hợp pháp được nhiều doanh nghiệp sử dụng để hỗ trợ kỹ thuật.
Trong chiến dịch này, ScreenConnect bị lợi dụng như một "cửa hậu", cho phép tin tặc thiết lập kết nối tới máy tính nạn nhân và tiếp tục triển khai các bước tấn công tiếp theo.
Việc sử dụng một phần mềm hợp pháp giúp lưu lượng mạng và hoạt động trên hệ thống trông giống các phiên hỗ trợ kỹ thuật thông thường, gây khó khăn cho việc phát hiện.
Trong chiến dịch này, ScreenConnect bị lợi dụng như một "cửa hậu", cho phép tin tặc thiết lập kết nối tới máy tính nạn nhân và tiếp tục triển khai các bước tấn công tiếp theo.
Việc sử dụng một phần mềm hợp pháp giúp lưu lượng mạng và hoạt động trên hệ thống trông giống các phiên hỗ trợ kỹ thuật thông thường, gây khó khăn cho việc phát hiện.
Giai đoạn 4: Vô hiệu hóa các lớp bảo vệ của Windows
Sau khi ScreenConnect hoạt động, hệ thống sẽ tạo và thực thi tập lệnh PowerShell có tên "Fj5NmEsp9EuKrun.ps1". Script này thực hiện hàng loạt thao tác nhằm làm suy yếu khả năng tự bảo vệ của Windows. Đầu tiên, nó thêm ngoại lệ vào Microsoft Defender để các thành phần độc hại không bị quét. Tiếp theo, script vô hiệu hóa các thông báo User Account Control (UAC) nhằm giảm khả năng người dùng phát hiện những thay đổi bất thường.
Sau đó, PowerShell tạo một tập tin VBScript mang tên "installer_method3_stream.vbs", đồng thời sinh thêm năm tập tin khác trong thư mục "C:\Users\Public" gồm:
Sau đó, PowerShell tạo một tập tin VBScript mang tên "installer_method3_stream.vbs", đồng thời sinh thêm năm tập tin khác trong thư mục "C:\Users\Public" gồm:
- msgbox.txt
- secret_bytes.txt
- 1.vb
- cap.ps1
- script.vbs
Việc chia nhỏ mã độc thành nhiều tập tin giúp làm rối quá trình phân tích và giảm nguy cơ bị các phần mềm chống mã độc phát hiện.
Giai đoạn 5: Cài đặt AsyncRAT
Tiếp theo, script.vbs được thực thi. Script này trước tiên chấm dứt toàn bộ các tiến trình PowerShell đang chạy, sau đó âm thầm khởi chạy "cap.ps1" trong cửa sổ ẩn.
PowerShell sẽ đọc nội dung của "secret_bytes.txt", giải mã module AsyncRAT rồi sử dụng kỹ thuật Process Hollowing để đưa mã độc vào một tiến trình Windows hợp pháp.
Process Hollowing là kỹ thuật tạo một tiến trình bình thường của Windows rồi thay thế mã thực thi bên trong bằng mã độc, giúp AsyncRAT hoạt động dưới vỏ bọc của tiến trình hợp pháp và khó bị phát hiện hơn.
PowerShell sẽ đọc nội dung của "secret_bytes.txt", giải mã module AsyncRAT rồi sử dụng kỹ thuật Process Hollowing để đưa mã độc vào một tiến trình Windows hợp pháp.
Process Hollowing là kỹ thuật tạo một tiến trình bình thường của Windows rồi thay thế mã thực thi bên trong bằng mã độc, giúp AsyncRAT hoạt động dưới vỏ bọc của tiến trình hợp pháp và khó bị phát hiện hơn.
Giai đoạn 6: Thiết lập kết nối với máy chủ điều khiển
Sau khi được triển khai thành công, AsyncRAT kết nối tới máy chủ điều khiển "mora1987.work[.]gd".
Thông qua kết nối này, hacker có thể:
Thông qua kết nối này, hacker có thể:
- điều khiển máy tính từ xa;
- đánh cắp dữ liệu;
- theo dõi hoạt động của người dùng;
- ghi lại nội dung màn hình;
- tải thêm mã độc khác;
- thực thi các lệnh tùy ý trên thiết bị.
Điều này đồng nghĩa với việc toàn bộ máy tính của nạn nhân có thể nằm dưới quyền kiểm soát của kẻ tấn công.
Giai đoạn 7: Duy trì quyền truy cập lâu dài
Để đảm bảo mã độc vẫn hoạt động sau mỗi lần khởi động lại máy tính, AsyncRAT tạo một Scheduled Task mang tên MasterPackager.Updater. Tác vụ này được thiết lập chạy cứ hai phút một lần, tự động thực thi script.vbs.
Nhờ đó, nếu một thành phần của chuỗi tấn công bị dừng hoặc gặp lỗi, toàn bộ quá trình sẽ được kích hoạt lại, giúp hacker duy trì quyền truy cập lâu dài vào hệ thống.
Nhờ đó, nếu một thành phần của chuỗi tấn công bị dừng hoặc gặp lỗi, toàn bộ quá trình sẽ được kích hoạt lại, giúp hacker duy trì quyền truy cập lâu dài vào hệ thống.
Vì sao chiến dịch này đặc biệt nguy hiểm?
Điểm đáng lo ngại nhất của chiến dịch là hacker không cần khai thác lỗ hổng bảo mật hay đánh cắp mật khẩu. Thay vào đó, chúng lợi dụng chính niềm tin của người dùng vào các công cụ tìm kiếm và các phần mềm quen thuộc để dẫn dụ nạn nhân tự cài đặt mã độc.
Bên cạnh đó, việc sử dụng ScreenConnect kết hợp với các kỹ thuật như DLL Side-Loading và Process Hollowing giúp mã độc khó bị phát hiện hơn bởi các giải pháp bảo mật truyền thống.
Một khi AsyncRAT được cài đặt thành công, máy tính không chỉ đối mặt với nguy cơ mất dữ liệu mà còn có thể trở thành bàn đạp cho các cuộc tấn công tiếp theo, bao gồm cài đặt ransomware, đánh cắp tài khoản hoặc xâm nhập sâu vào mạng nội bộ của doanh nghiệp.
Bên cạnh đó, việc sử dụng ScreenConnect kết hợp với các kỹ thuật như DLL Side-Loading và Process Hollowing giúp mã độc khó bị phát hiện hơn bởi các giải pháp bảo mật truyền thống.
Một khi AsyncRAT được cài đặt thành công, máy tính không chỉ đối mặt với nguy cơ mất dữ liệu mà còn có thể trở thành bàn đạp cho các cuộc tấn công tiếp theo, bao gồm cài đặt ransomware, đánh cắp tài khoản hoặc xâm nhập sâu vào mạng nội bộ của doanh nghiệp.
Người dùng và doanh nghiệp cần làm gì?
Các chuyên gia an ninh mạng khuyến nghị người dùng:
- Chỉ tải phần mềm từ website chính thức của nhà phát triển.
- Không tin tưởng tuyệt đối vào các kết quả đứng đầu trên Google hoặc Bing.
- Kiểm tra kỹ tên miền trước khi tải xuống.
- Luôn cập nhật Windows và phần mềm bảo mật.
- Theo dõi các dấu hiệu bất thường như ScreenConnect xuất hiện trên máy tính dù không được cài đặt chủ đích.
- Kiểm tra các Scheduled Task lạ, đặc biệt là MasterPackager.Updater.
- Rà soát các tập tin bất thường trong thư mục C:\Users\Public.
- Đối với doanh nghiệp, nên triển khai các giải pháp EDR/XDR để phát hiện hành vi bất thường thay vì chỉ dựa vào chữ ký mã độc.