-
09/04/2020
-
141
-
1.956 bài viết
Tin tặc lợi dụng tên miền Google DoubleClick để phát tán mã độc DesckVB RAT
Một chiến dịch phát tán mã độc mới vừa được các nhà nghiên cứu an ninh mạng phát hiện đang lợi dụng chính tên miền hợp pháp của Google để qua mặt hệ thống bảo mật và đánh lừa người dùng tải xuống mã độc điều khiển từ xa DesckVB RAT.
Điểm đáng chú ý của chiến dịch này là kẻ tấn công không sử dụng các website lừa đảo “thô sơ” như thông thường, mà tận dụng nền tảng DoubleClick – hệ thống quảng cáo và theo dõi liên kết thuộc sở hữu của Google để làm trung gian chuyển hướng. Điều này khiến nhiều giải pháp bảo mật và người dùng tin rằng liên kết là an toàn. Theo báo cáo từ hãng an ninh mạng Huntress, chiến dịch sử dụng kỹ thuật “malspam”, tức phát tán mã độc thông qua email lừa đảo hàng loạt. Tuy nhiên, thay vì gửi các file độc hại trực tiếp, hacker xây dựng cả một chuỗi tấn công nhiều lớp nhằm né tránh phát hiện và tăng tỷ lệ thành công.
Google DoubleClick bị lợi dụng để tăng độ tin cậy
Các chuyên gia cho biết cuộc tấn công bắt đầu bằng một email phishing có đính kèm file HTML. Khi nạn nhân mở file này, trình duyệt sẽ tự động chuyển hướng thông qua URL của Google DoubleClick Campaign Manager (một nền tảng quảng cáo và theo dõi click hợp pháp của Google).
Do DoubleClick là tên miền đáng tin cậy, nhiều công cụ lọc email và hệ thống bảo mật không đánh dấu đây là liên kết nguy hiểm. Sau khi đi qua lớp chuyển hướng này, nạn nhân tiếp tục bị dẫn tới một website giả mạo được cá nhân hóa theo từng người dùng.
Điểm tinh vi nằm ở việc bộ công cụ phishing có thể tự động giải mã địa chỉ email nạn nhân, sau đó lấy logo công ty, vị trí địa lý và thông tin thương hiệu tương ứng để tạo ra giao diện cực kỳ thuyết phục mà không cần hacker phải thiết kế riêng cho từng mục tiêu.
Các nhà nghiên cứu nhận định điều này giúp chiến dịch mở rộng quy mô rất nhanh với chi phí thấp hơn nhiều so với các chiến dịch spear-phishing truyền thống.
Do DoubleClick là tên miền đáng tin cậy, nhiều công cụ lọc email và hệ thống bảo mật không đánh dấu đây là liên kết nguy hiểm. Sau khi đi qua lớp chuyển hướng này, nạn nhân tiếp tục bị dẫn tới một website giả mạo được cá nhân hóa theo từng người dùng.
Điểm tinh vi nằm ở việc bộ công cụ phishing có thể tự động giải mã địa chỉ email nạn nhân, sau đó lấy logo công ty, vị trí địa lý và thông tin thương hiệu tương ứng để tạo ra giao diện cực kỳ thuyết phục mà không cần hacker phải thiết kế riêng cho từng mục tiêu.
Các nhà nghiên cứu nhận định điều này giúp chiến dịch mở rộng quy mô rất nhanh với chi phí thấp hơn nhiều so với các chiến dịch spear-phishing truyền thống.
Chuỗi lây nhiễm nhiều lớp nhằm né tránh antivirus
Sau khi truy cập website giả mạo, người dùng sẽ thấy nút “Download PDF”. Khi bấm tải xuống, máy chủ trả về một file ZIP chứa mã độc.
Bên trong file nén là một JavaScript loader có nhiệm vụ khởi động toàn bộ chuỗi lây nhiễm. Script này sẽ giải nén và chạy PowerShell script nhằm tải về một .NET loader từ máy chủ bên ngoài.
Loader tiếp tục thực hiện nhiều bước tinh vi để né tránh phân tích, bao gồm:
Bên trong file nén là một JavaScript loader có nhiệm vụ khởi động toàn bộ chuỗi lây nhiễm. Script này sẽ giải nén và chạy PowerShell script nhằm tải về một .NET loader từ máy chủ bên ngoài.
Loader tiếp tục thực hiện nhiều bước tinh vi để né tránh phân tích, bao gồm:
- Kiểm tra môi trường sandbox hoặc máy phân tích malware
- Tắt hoặc vô hiệu hóa một số cơ chế bảo mật
- Thiết lập cơ chế persistence để tồn tại sau khi khởi động lại
- Tiêm mã độc vào tiến trình hợp pháp của Microsoft bằng kỹ thuật process hollowing
Kỹ thuật process hollowing cho phép malware “ẩn mình” bên trong các tiến trình Windows hợp pháp đã được ký số bởi Microsoft, khiến việc phát hiện trở nên khó khăn hơn đáng kể.
DesckVB RAT có thể chiếm quyền điều khiển toàn bộ máy tính
Payload cuối cùng trong chuỗi tấn công là DesckVB RAT (một trojan điều khiển từ xa viết bằng ".NET") xuất hiện từ đầu năm 2026. Sau khi được cài đặt, malware sẽ kết nối tới máy chủ điều khiển (C2) thông qua giao thức TCP trực tiếp để nhận lệnh từ hacker.
Mã độc này có khả năng:
Mã độc này có khả năng:
- Đánh cắp dữ liệu trên máy tính
- Thực thi lệnh từ xa
- Tải thêm malware khác
- Thiết lập quyền kiểm soát lâu dài
- Vô hiệu hóa một số cơ chế bảo vệ của Windows
Đặc biệt, DesckVB RAT còn chủ động sửa đổi Microsoft Defender bằng cách thêm các ngoại lệ quét bảo mật để tránh bị phát hiện.
Malware cũng can thiệp trực tiếp vào AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows) – hai cơ chế quan trọng của Windows dùng để giám sát hoạt động độc hại. Điều này khiến hệ thống ghi log và phân tích hành vi bị “làm mù” ngay từ giai đoạn đầu.
Ngoài ra, nếu phát hiện đang chạy trong môi trường phân tích hoặc sandbox, malware có thể tự động dừng hoạt động hoặc khởi động lại máy nhằm né tránh nghiên cứu.
Malware cũng can thiệp trực tiếp vào AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows) – hai cơ chế quan trọng của Windows dùng để giám sát hoạt động độc hại. Điều này khiến hệ thống ghi log và phân tích hành vi bị “làm mù” ngay từ giai đoạn đầu.
Ngoài ra, nếu phát hiện đang chạy trong môi trường phân tích hoặc sandbox, malware có thể tự động dừng hoạt động hoặc khởi động lại máy nhằm né tránh nghiên cứu.
Vì sao chiến dịch này nguy hiểm?
Điểm nguy hiểm của chiến dịch không chỉ nằm ở mã độc, mà còn ở cách hacker lợi dụng hạ tầng hợp pháp để tạo cảm giác an toàn.
Nhiều người dùng thường có xu hướng tin tưởng các liên kết chứa tên miền Google. Việc lợi dụng DoubleClick giúp hacker vượt qua lớp nghi ngờ ban đầu và tăng khả năng nạn nhân mở file hoặc nhấn vào liên kết.
Bên cạnh đó, chiến dịch còn sử dụng nhiều kỹ thuật hiện đại như:
Nhiều người dùng thường có xu hướng tin tưởng các liên kết chứa tên miền Google. Việc lợi dụng DoubleClick giúp hacker vượt qua lớp nghi ngờ ban đầu và tăng khả năng nạn nhân mở file hoặc nhấn vào liên kết.
Bên cạnh đó, chiến dịch còn sử dụng nhiều kỹ thuật hiện đại như:
- Chuyển hướng nhiều lớp
- Cá nhân hóa phishing theo email nạn nhân
- PowerShell tải payload động
- Process hollowing
- Vô hiệu hóa AMSI và ETW
- Persistence thông qua Registry và Startup folder
Sự kết hợp này cho thấy các chiến dịch malware hiện nay đang ngày càng chuyên nghiệp và gần với mô hình tấn công APT quy mô lớn.
Các tổ chức cần làm gì để phòng tránh?
Các chuyên gia Huntress khuyến nghị doanh nghiệp cần triển khai mô hình phòng thủ nhiều lớp thay vì chỉ dựa vào antivirus truyền thống.
Một trong những biện pháp hiệu quả là cấu hình Group Policy (GPO) trong Active Directory để các file script như .js, .vbs hoặc .hta mặc định mở bằng Notepad thay vì thực thi trực tiếp. Điều này có thể chặn cuộc tấn công ngay từ bước đầu tiên.
Ngoài ra, doanh nghiệp nên:
Một trong những biện pháp hiệu quả là cấu hình Group Policy (GPO) trong Active Directory để các file script như .js, .vbs hoặc .hta mặc định mở bằng Notepad thay vì thực thi trực tiếp. Điều này có thể chặn cuộc tấn công ngay từ bước đầu tiên.
Ngoài ra, doanh nghiệp nên:
- Triển khai SPF, DKIM và DMARC để giảm nguy cơ email giả mạo
- Sử dụng email gateway có khả năng sandbox file đính kèm
- Giám sát PowerShell bất thường
- Theo dõi hành vi process hollowing
- Hạn chế quyền thực thi script
- Kích hoạt EDR/XDR để phát hiện hành vi đáng ngờ
- Đào tạo nhân viên nhận diện email phishing
Người dùng cá nhân cũng cần cẩn trọng với các file HTML hoặc ZIP gửi qua email, kể cả khi liên kết trung gian hiển thị là tên miền uy tín.
Chiến dịch phát tán DesckVB RAT cho thấy tội phạm mạng đang ngày càng biết cách lợi dụng hạ tầng hợp pháp để che giấu hoạt động độc hại. Khi các liên kết Google, website có giao diện chuyên nghiệp và nội dung cá nhân hóa đều có thể trở thành công cụ lừa đảo, việc chỉ dựa vào cảm giác “trông có vẻ an toàn” không còn đủ để bảo vệ người dùng.
Trong bối cảnh các kỹ thuật phishing ngày càng tinh vi và tự động hóa, doanh nghiệp cần chuyển từ mô hình phòng thủ truyền thống sang giám sát hành vi và kiểm soát thực thi ở cấp độ sâu hơn nhằm giảm thiểu nguy cơ bị xâm nhập.
Chiến dịch phát tán DesckVB RAT cho thấy tội phạm mạng đang ngày càng biết cách lợi dụng hạ tầng hợp pháp để che giấu hoạt động độc hại. Khi các liên kết Google, website có giao diện chuyên nghiệp và nội dung cá nhân hóa đều có thể trở thành công cụ lừa đảo, việc chỉ dựa vào cảm giác “trông có vẻ an toàn” không còn đủ để bảo vệ người dùng.
Trong bối cảnh các kỹ thuật phishing ngày càng tinh vi và tự động hóa, doanh nghiệp cần chuyển từ mô hình phòng thủ truyền thống sang giám sát hành vi và kiểm soát thực thi ở cấp độ sâu hơn nhằm giảm thiểu nguy cơ bị xâm nhập.