# Chiến Dịch Malware Qua WhatsApp Phát Tán VBS và MSI Backdoor

* * *

## Tóm Tắt

Vào cuối tháng 2 năm 2026, nhóm Microsoft Defender Experts đã phát hiện một chiến dịch tấn công tinh vi sử dụng ứng dụng nhắn tin WhatsApp để phát tán các tệp Visual Basic Script (VBS) độc hại đến người dùng Windows. Sau khi nạn nhân thực thi tệp này, một chuỗi lây nhiễm nhiều giai đoạn sẽ được kích hoạt, dẫn đến việc kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống thông qua các backdoor MSI. Điểm đặc biệt của chiến dịch là việc kết hợp giữa **kỹ thuật social engineering**, **Living-off-the-Land (LotL)** và **cloud infrastructure công khai** để né tránh các giải pháp bảo mật.

* * *

## Bức Tranh Mối Đe Dọa (Threat Landscape)

Chiến dịch này nằm trong xu hướng tấn công ngày càng phổ biến: khai thác các nền tảng liên lạc đáng tin cậy như WhatsApp để phát tán mã độc. Thay vì dùng email phishing truyền thống, kẻ tấn công khai thác lòng tin mà người dùng đặt vào các ứng dụng nhắn tin quen thuộc để vượt qua rào cản tâm lý. Điều đáng lo ngại là hiện tại **chưa xác định được nội dung mồi nhử (lure)** mà kẻ tấn công dùng để thuyết phục nạn nhân mở file VBS.

* * *

## Chuỗi Tấn Công Chi Tiết (Attack Chain)

Chiến dịch được chia thành 4 giai đoạn rõ ràng, với mỗi giai đoạn xây dựng nền tảng cho giai đoạn tiếp theo:

![](https://cdn.hashnode.com/uploads/covers/669e2578c18c3baa1b4fc070/9fcbb89d-0724-495d-91c3-fdb142840f8c.png align="center")

### Giai đoạn 1 — Xâm nhập ban đầu (Initial Access via WhatsApp)

Tệp VBS độc hại được gửi trực tiếp qua tin nhắn WhatsApp. Khi nạn nhân thực thi, script sẽ:

*   Tạo thư mục ẩn tại `C:\ProgramData\EDS8738`
    
*   Sao chép và **đổi tên các công cụ Windows hợp lệ**: `curl.exe` → `netapi.dll`, `bitsadmin.exe` → `sc.exe`
    
*   Các file đổi tên này vẫn giữ nguyên metadata PE gốc (`OriginalFileName`), tạo ra tín hiệu phát hiện tiềm năng cho các giải pháp EDR
    

### Giai đoạn 2 — Tải payload từ cloud (Payload Retrieval)

Sử dụng các binary đã đổi tên ở trên với cờ downloader, malware kết nối đến các dịch vụ cloud uy tín để tải payload thứ cấp:

*   `auxs.vbs` và `WinUpdate_KB5034231.vbs` được host trên **AWS S3**, **Tencent Cloud**, và **Backblaze B2**
    
*   Kỹ thuật này khiến các request độc hại trông như traffic hệ thống bình thường, gây khó khăn cho việc phân biệt hoạt động hợp lệ và tấn công
    

### Giai đoạn 3 — Leo thang đặc quyền & Persistence

Đây là giai đoạn then chốt nhất của chiến dịch:

*   Malware sửa giá trị registry `ConsentPromptBehaviorAdmin` để **vô hiệu hóa UAC prompt**
    
*   Liên tục thử khởi chạy `cmd.exe` với đặc quyền cao, lặp lại cho đến khi thành công hoặc bị ngắt buộc
    
*   Ghi cơ chế persistence vào registry tại `HKLM\Software\Microsoft\Win` để đảm bảo tồn tại qua các lần reboot
    
*   Toàn bộ quá trình leo thang đặc quyền diễn ra **không cần tương tác người dùng**
    

### Giai đoạn 4 — Triển khai backdoor cuối (Final Payload)

Giai đoạn cuối cùng cài đặt các MSI installer **không có chữ ký số hợp lệ**:

| Tên file | Mô tả |
| --- | --- |
| `AnyDesk.msi` | Giả mạo phần mềm điều khiển từ xa hợp lệ, tạo kết nối persistent |
| `Setup.msi` | Installer backdoor chung |
| `WinRAR.msi` | Giả mạo công cụ nén phổ biến |
| `LinkPoint.msi` | Installer backdoor bổ sung |

Thông qua AnyDesk giả mạo, kẻ tấn công đạt được **quyền truy cập từ xa liên tục**, cho phép đánh cắp dữ liệu, triển khai malware bổ sung hoặc biến hệ thống thành một node trong botnet.

* * *

## Phân Tích Kỹ Thuật (Technical Analysis)

### MITRE ATT&CK Mapping

| Tactic | Kỹ thuật | ID | Chi tiết |
| --- | --- | --- | --- |
| Initial Access | Phishing via Messaging Platform | T1566 | VBS qua WhatsApp |
| Execution | User Execution: Malicious File | T1204.002 | Nạn nhân tự thực thi VBS |
| Defense Evasion | Masquerading: Rename System Utilities | T1036.003 | curl.exe → netapi.dll |
| Defense Evasion | Abuse of Trusted Cloud Services | T1102 | AWS, Tencent, Backblaze |
| Privilege Escalation | Abuse Elevation Control: Bypass UAC | T1548.002 | Registry UAC bypass |
| Persistence | Registry Run Keys / Startup Folder | T1547.001 | HKLM registry modification |
| Command & Control | Remote Access Software | T1219 | AnyDesk backdoor |

### Điểm Nổi Bật Về Evasion

Chiến dịch này đặc biệt nguy hiểm bởi sự kết hợp nhiều kỹ thuật né tránh cùng lúc. Việc dùng binary hợp lệ của Windows (LotL) kết hợp với cloud hosting khiến các giải pháp bảo mật dựa trên signature và domain reputation gần như vô dụng. Hơn nữa, kỹ thuật **delayed execution** và thực thi từng giai đoạn giúp tránh các hệ thống sandbox phát hiện hành vi.

* * *

## Indicators of Compromise (IoC)

### SHA-256 Hashes — VBS Scripts (Initial Stage)

| Hash | Mô tả |
| --- | --- |
| `a773bf0d400986f9bcd001c84f2e1a0b614c14d9088f3ba23ddc0c75539dc9e0` | VBS ban đầu từ WhatsApp |
| `22b82421363026940a565d4ffbb7ce4e7798cdc5f53dda9d3229eb8ef3e0289a` | VBS ban đầu từ WhatsApp |

### SHA-256 Hashes — VBS Droppers (Cloud Stage)

| Hash | Mô tả |
| --- | --- |
| `91ec2ede66c7b4e6d4c8a25ffad4670d5fd7ff1a2d266528548950df2a8a927a` | Script từ cloud storage |
| `1735fcb8989c99bc8b9741f2a7dbf9ab42b7855e8e9a395c21f11450c35ebb0c` | Script từ cloud storage |
| `5cd4280b7b5a655b611702b574b0b48cd46d7729c9bbdfa907ca0afa55971662` | Script từ cloud storage |
| `630dfd5ab55b9f897b54c289941303eb9b0e07f58ca5e925a0fa40f12e752653` | Script từ cloud storage |

### SHA-256 Hashes — MSI Installers (Final Payload)

| Hash | Mô tả |
| --- | --- |
| `dc3b2db1608239387a36f6e19bba6816a39c93b6aa7329340343a2ab42ccd32d` | MSI installer |
| `a2b9e0887751c3d775adc547f6c76fea3b4a554793059c00082c1c38956badc8` | MSI installer |
| `15a730d22f25f87a081bb2723393e6695d2aab38c0eafe9d7058e36f4f589220` | MSI installer |

### URLs — Cloud Payload Hosting

| URL | Dịch vụ |
| --- | --- |
| `hxxps[:]//bafauac.s3.ap-southeast-1.amazonaws[.]com` | Amazon S3 |
| `hxxps[:]//yifubafu.s3.ap-southeast-1.amazonaws[.]com` | Amazon S3 |
| `hxxps[:]//9ding.s3.ap-southeast-1.amazonaws[.]com` | Amazon S3 |
| `hxxps[:]//f005.backblazeb2.com/file/bsbbmks` | Backblaze B2 |
| `hxxps[:]sinjiabo-1398259625[.]cos.ap-singapore.myqcloud.com` | Tencent Cloud |

### C2 Domains

| Domain | Vai trò |
| --- | --- |
| `Neescil[.]top` | Command & Control |
| `velthora[.]top` | Command & Control |

* * *

## Hunting Queries (Microsoft Defender / KQL)

Đây là các query do Microsoft cung cấp để truy tìm hoạt động liên quan:

**Phát hiện thực thi VBS script độc hại:**

```kql
DeviceProcessEvents
| where InitiatingProcessFileName has "wscript.exe"
| where InitiatingProcessCommandLine has_all ("wscript.exe",".vbs")
| where ProcessCommandLine has_all ("ProgramData","-K","-s","-L","-o", "https:")
```

**Phát hiện VBS payload stage tiếp theo:**

```kql
DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".vbs"
```

**Phát hiện MSI installer độc hại:**

```kql
DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".msi"
```

**Phát hiện outbound C2 communication:**

```kql
DeviceNetworkEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where InitiatingProcessCommandLine has_all ("-s","-L","-o", "-k")
```

* * *

## Khuyến Nghị Phòng Thủ (Mitigation & Recommendations)

### Kiểm soát endpoint

*   **Chặn script host** trong các đường dẫn không tin cậy: `wscript.exe`, `cscript.exe`, `mshta.exe`
    
*   Giám sát các tiến trình Windows bị đổi tên và thực thi với cờ bất thường (đặc biệt là các flag của `curl`, `bitsadmin`)
    
*   Bật **EDR in block mode** để chặn artifact độc hại ngay cả khi AV không phát hiện
    

### Giám sát mạng & cloud

*   Kiểm tra và lọc traffic đến các dịch vụ cloud như AWS S3, Tencent Cloud, Backblaze B2 trong bối cảnh doanh nghiệp
    
*   Chặn kết nối đến các C2 domain đã biết: `Neescil[.]top`, `velthora[.]top`
    

### Phát hiện persistence

*   Giám sát liên tục các thay đổi registry tại `HKLM\Software\Microsoft\Win`
    
*   Cảnh báo khi giá trị `ConsentPromptBehaviorAdmin` bị thay đổi (dấu hiệu bypass UAC)
    
*   Theo dõi việc cài đặt MSI không có chữ ký số hợp lệ
    

### Đào tạo người dùng

*   Huấn luyện nhân viên **không mở file đính kèm** (đặc biệt `.vbs`, `.js`, `.bat`) nhận qua các nền tảng nhắn tin như WhatsApp, kể cả từ người quen
    
*   Xây dựng quy trình báo cáo sự cố rõ ràng khi nhận được tin nhắn/file đáng ngờ
    

### Giải pháp Microsoft cụ thể

*   Bật **cloud-delivered protection** trong Microsoft Defender Antivirus
    
*   Kích hoạt **Tamper Protection** kết hợp với `DisableLocalAdminMerge`
    
*   Kích hoạt **Attack Surface Reduction (ASR) rules** để chặn các kỹ thuật LotL
    

* * *

## Microsoft Defender Detections

| Tactic | Hoạt động quan sát | Detection Name |
| --- | --- | --- |
| Initial Access | Tải VBS độc hại qua WhatsApp | `Trojan:VBS/Obfuse.KPP!MTB` |
| Execution / Defense Evasion | Đổi tên `curl.exe`, `bitsadmin.exe` | `Suspicious curl behavior` |
| Privilege Escalation | Đọc UAC settings, sửa registry | `Trojan:VBS/BypassUAC.PAA!MTB` |

* * *

## Đánh Giá & Kết Luận

Chiến dịch này thể hiện sự chuyên nghiệp cao của nhóm tấn công khi tích hợp nhiều lớp evasion trong một chuỗi tấn công duy nhất. Việc lạm dụng các dịch vụ cloud uy tín toàn cầu (AWS, Tencent, Backblaze) phản ánh xu hướng **"living off trusted services"** — phiên bản nâng cấp của LotL truyền thống. Mặc dù danh tính nhóm đe dọa chưa được Microsoft công khai quy kết, nhưng mức độ tinh vi và việc sử dụng AnyDesk như C2 persistent gợi ý khả năng đây là một **nhóm APT có tổ chức** hoặc nhóm cybercrime chuyên nghiệp nhằm vào doanh nghiệp. Đây là một nhắc nhở quan trọng rằng **không có nền tảng nào là an toàn tuyệt đối** và chính sách "zero trust" đối với mọi file nhận được — kể cả từ ứng dụng nhắn tin phổ biến — là yêu cầu bắt buộc trong môi trường doanh nghiệp hiện đại.

* * *

## Tham Khảo

1.  [WhatsApp malware campaign delivers VBScript and MSI backdoors](https://www.microsoft.com/en-us/security/blog/2026/03/31/whatsapp-malware-campaign-delivers-vbs-payloads-msi-backdoors/)
    
2.  [WhatsApp malware campaign uses malicious VBS files to gain persistent access](https://www.csoonline.com/article/4153092/whatsapp-malware-campaign-uses-malicious-vbs-files-to-gain-persistent-access.html)
    
3.  [Microsoft Warns of WhatsApp-Delivered VBS Malware Hijacking Windows via UAC Bypass](https://thehackernews.com/2026/04/microsoft-warns-of-whatsapp-delivered.html)
