Chiến Dịch Malware Qua WhatsApp Phát Tán VBS và MSI Backdoor
Tóm Tắt
Vào cuối tháng 2 năm 2026, nhóm Microsoft Defender Experts đã phát hiện một chiến dịch tấn công tinh vi sử dụng ứng dụng nhắn tin WhatsApp để phát tán các tệp Visual Basic Script (VBS) độc hại đến người dùng Windows. Sau khi nạn nhân thực thi tệp này, một chuỗi lây nhiễm nhiều giai đoạn sẽ được kích hoạt, dẫn đến việc kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống thông qua các backdoor MSI. Điểm đặc biệt của chiến dịch là việc kết hợp giữa kỹ thuật social engineering, Living-off-the-Land (LotL) và cloud infrastructure công khai để né tránh các giải pháp bảo mật.
Bức Tranh Mối Đe Dọa (Threat Landscape)
Chiến dịch này nằm trong xu hướng tấn công ngày càng phổ biến: khai thác các nền tảng liên lạc đáng tin cậy như WhatsApp để phát tán mã độc. Thay vì dùng email phishing truyền thống, kẻ tấn công khai thác lòng tin mà người dùng đặt vào các ứng dụng nhắn tin quen thuộc để vượt qua rào cản tâm lý. Điều đáng lo ngại là hiện tại chưa xác định được nội dung mồi nhử (lure) mà kẻ tấn công dùng để thuyết phục nạn nhân mở file VBS.
Chuỗi Tấn Công Chi Tiết (Attack Chain)
Chiến dịch được chia thành 4 giai đoạn rõ ràng, với mỗi giai đoạn xây dựng nền tảng cho giai đoạn tiếp theo:
Giai đoạn 1 — Xâm nhập ban đầu (Initial Access via WhatsApp)
Tệp VBS độc hại được gửi trực tiếp qua tin nhắn WhatsApp. Khi nạn nhân thực thi, script sẽ:
Tạo thư mục ẩn tại
C:\ProgramData\EDS8738Sao chép và đổi tên các công cụ Windows hợp lệ:
curl.exe→netapi.dll,bitsadmin.exe→sc.exeCác file đổi tên này vẫn giữ nguyên metadata PE gốc (
OriginalFileName), tạo ra tín hiệu phát hiện tiềm năng cho các giải pháp EDR
Giai đoạn 2 — Tải payload từ cloud (Payload Retrieval)
Sử dụng các binary đã đổi tên ở trên với cờ downloader, malware kết nối đến các dịch vụ cloud uy tín để tải payload thứ cấp:
auxs.vbsvàWinUpdate_KB5034231.vbsđược host trên AWS S3, Tencent Cloud, và Backblaze B2Kỹ thuật này khiến các request độc hại trông như traffic hệ thống bình thường, gây khó khăn cho việc phân biệt hoạt động hợp lệ và tấn công
Giai đoạn 3 — Leo thang đặc quyền & Persistence
Đây là giai đoạn then chốt nhất của chiến dịch:
Malware sửa giá trị registry
ConsentPromptBehaviorAdminđể vô hiệu hóa UAC promptLiên tục thử khởi chạy
cmd.exevới đặc quyền cao, lặp lại cho đến khi thành công hoặc bị ngắt buộcGhi cơ chế persistence vào registry tại
HKLM\Software\Microsoft\Winđể đảm bảo tồn tại qua các lần rebootToàn bộ quá trình leo thang đặc quyền diễn ra không cần tương tác người dùng
Giai đoạn 4 — Triển khai backdoor cuối (Final Payload)
Giai đoạn cuối cùng cài đặt các MSI installer không có chữ ký số hợp lệ:
| Tên file | Mô tả |
|---|---|
AnyDesk.msi |
Giả mạo phần mềm điều khiển từ xa hợp lệ, tạo kết nối persistent |
Setup.msi |
Installer backdoor chung |
WinRAR.msi |
Giả mạo công cụ nén phổ biến |
LinkPoint.msi |
Installer backdoor bổ sung |
Thông qua AnyDesk giả mạo, kẻ tấn công đạt được quyền truy cập từ xa liên tục, cho phép đánh cắp dữ liệu, triển khai malware bổ sung hoặc biến hệ thống thành một node trong botnet.
Phân Tích Kỹ Thuật (Technical Analysis)
MITRE ATT&CK Mapping
| Tactic | Kỹ thuật | ID | Chi tiết |
|---|---|---|---|
| Initial Access | Phishing via Messaging Platform | T1566 | VBS qua WhatsApp |
| Execution | User Execution: Malicious File | T1204.002 | Nạn nhân tự thực thi VBS |
| Defense Evasion | Masquerading: Rename System Utilities | T1036.003 | curl.exe → netapi.dll |
| Defense Evasion | Abuse of Trusted Cloud Services | T1102 | AWS, Tencent, Backblaze |
| Privilege Escalation | Abuse Elevation Control: Bypass UAC | T1548.002 | Registry UAC bypass |
| Persistence | Registry Run Keys / Startup Folder | T1547.001 | HKLM registry modification |
| Command & Control | Remote Access Software | T1219 | AnyDesk backdoor |
Điểm Nổi Bật Về Evasion
Chiến dịch này đặc biệt nguy hiểm bởi sự kết hợp nhiều kỹ thuật né tránh cùng lúc. Việc dùng binary hợp lệ của Windows (LotL) kết hợp với cloud hosting khiến các giải pháp bảo mật dựa trên signature và domain reputation gần như vô dụng. Hơn nữa, kỹ thuật delayed execution và thực thi từng giai đoạn giúp tránh các hệ thống sandbox phát hiện hành vi.
Indicators of Compromise (IoC)
SHA-256 Hashes — VBS Scripts (Initial Stage)
| Hash | Mô tả |
|---|---|
a773bf0d400986f9bcd001c84f2e1a0b614c14d9088f3ba23ddc0c75539dc9e0 |
VBS ban đầu từ WhatsApp |
22b82421363026940a565d4ffbb7ce4e7798cdc5f53dda9d3229eb8ef3e0289a |
VBS ban đầu từ WhatsApp |
SHA-256 Hashes — VBS Droppers (Cloud Stage)
| Hash | Mô tả |
|---|---|
91ec2ede66c7b4e6d4c8a25ffad4670d5fd7ff1a2d266528548950df2a8a927a |
Script từ cloud storage |
1735fcb8989c99bc8b9741f2a7dbf9ab42b7855e8e9a395c21f11450c35ebb0c |
Script từ cloud storage |
5cd4280b7b5a655b611702b574b0b48cd46d7729c9bbdfa907ca0afa55971662 |
Script từ cloud storage |
630dfd5ab55b9f897b54c289941303eb9b0e07f58ca5e925a0fa40f12e752653 |
Script từ cloud storage |
SHA-256 Hashes — MSI Installers (Final Payload)
| Hash | Mô tả |
|---|---|
dc3b2db1608239387a36f6e19bba6816a39c93b6aa7329340343a2ab42ccd32d |
MSI installer |
a2b9e0887751c3d775adc547f6c76fea3b4a554793059c00082c1c38956badc8 |
MSI installer |
15a730d22f25f87a081bb2723393e6695d2aab38c0eafe9d7058e36f4f589220 |
MSI installer |
URLs — Cloud Payload Hosting
| URL | Dịch vụ |
|---|---|
hxxps[:]//bafauac.s3.ap-southeast-1.amazonaws[.]com |
Amazon S3 |
hxxps[:]//yifubafu.s3.ap-southeast-1.amazonaws[.]com |
Amazon S3 |
hxxps[:]//9ding.s3.ap-southeast-1.amazonaws[.]com |
Amazon S3 |
hxxps[:]//f005.backblazeb2.com/file/bsbbmks |
Backblaze B2 |
hxxps[:]sinjiabo-1398259625[.]cos.ap-singapore.myqcloud.com |
Tencent Cloud |
C2 Domains
| Domain | Vai trò |
|---|---|
Neescil[.]top |
Command & Control |
velthora[.]top |
Command & Control |
Hunting Queries (Microsoft Defender / KQL)
Đây là các query do Microsoft cung cấp để truy tìm hoạt động liên quan:
Phát hiện thực thi VBS script độc hại:
DeviceProcessEvents
| where InitiatingProcessFileName has "wscript.exe"
| where InitiatingProcessCommandLine has_all ("wscript.exe",".vbs")
| where ProcessCommandLine has_all ("ProgramData","-K","-s","-L","-o", "https:")
Phát hiện VBS payload stage tiếp theo:
DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".vbs"
Phát hiện MSI installer độc hại:
DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".msi"
Phát hiện outbound C2 communication:
DeviceNetworkEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where InitiatingProcessCommandLine has_all ("-s","-L","-o", "-k")
Khuyến Nghị Phòng Thủ (Mitigation & Recommendations)
Kiểm soát endpoint
Chặn script host trong các đường dẫn không tin cậy:
wscript.exe,cscript.exe,mshta.exeGiám sát các tiến trình Windows bị đổi tên và thực thi với cờ bất thường (đặc biệt là các flag của
curl,bitsadmin)Bật EDR in block mode để chặn artifact độc hại ngay cả khi AV không phát hiện
Giám sát mạng & cloud
Kiểm tra và lọc traffic đến các dịch vụ cloud như AWS S3, Tencent Cloud, Backblaze B2 trong bối cảnh doanh nghiệp
Chặn kết nối đến các C2 domain đã biết:
Neescil[.]top,velthora[.]top
Phát hiện persistence
Giám sát liên tục các thay đổi registry tại
HKLM\Software\Microsoft\WinCảnh báo khi giá trị
ConsentPromptBehaviorAdminbị thay đổi (dấu hiệu bypass UAC)Theo dõi việc cài đặt MSI không có chữ ký số hợp lệ
Đào tạo người dùng
Huấn luyện nhân viên không mở file đính kèm (đặc biệt
.vbs,.js,.bat) nhận qua các nền tảng nhắn tin như WhatsApp, kể cả từ người quenXây dựng quy trình báo cáo sự cố rõ ràng khi nhận được tin nhắn/file đáng ngờ
Giải pháp Microsoft cụ thể
Bật cloud-delivered protection trong Microsoft Defender Antivirus
Kích hoạt Tamper Protection kết hợp với
DisableLocalAdminMergeKích hoạt Attack Surface Reduction (ASR) rules để chặn các kỹ thuật LotL
Microsoft Defender Detections
| Tactic | Hoạt động quan sát | Detection Name |
|---|---|---|
| Initial Access | Tải VBS độc hại qua WhatsApp | Trojan:VBS/Obfuse.KPP!MTB |
| Execution / Defense Evasion | Đổi tên curl.exe, bitsadmin.exe |
Suspicious curl behavior |
| Privilege Escalation | Đọc UAC settings, sửa registry | Trojan:VBS/BypassUAC.PAA!MTB |
Đánh Giá & Kết Luận
Chiến dịch này thể hiện sự chuyên nghiệp cao của nhóm tấn công khi tích hợp nhiều lớp evasion trong một chuỗi tấn công duy nhất. Việc lạm dụng các dịch vụ cloud uy tín toàn cầu (AWS, Tencent, Backblaze) phản ánh xu hướng "living off trusted services" — phiên bản nâng cấp của LotL truyền thống. Mặc dù danh tính nhóm đe dọa chưa được Microsoft công khai quy kết, nhưng mức độ tinh vi và việc sử dụng AnyDesk như C2 persistent gợi ý khả năng đây là một nhóm APT có tổ chức hoặc nhóm cybercrime chuyên nghiệp nhằm vào doanh nghiệp. Đây là một nhắc nhở quan trọng rằng không có nền tảng nào là an toàn tuyệt đối và chính sách "zero trust" đối với mọi file nhận được — kể cả từ ứng dụng nhắn tin phổ biến — là yêu cầu bắt buộc trong môi trường doanh nghiệp hiện đại.
