Chiến Dịch Đào Tiền Ảo Monero: Khi Malware có thể "Hồi Sinh"

Trong bối cảnh tin tặc liên tục đổi mới thủ đoạn, các chiến dịch đào tiền ảo bất hợp pháp (cryptojacking) đã vượt xa những hình thức đơn giản như script chạy trên trình duyệt. Chúng đã trở thành những "cỗ máy" tinh vi, hoạt động thầm lặng nhưng bền bỉ, tập trung tối đa hóa lợi nhuận bằng cách chiếm đoạt tài nguyên hệ thống của nạn nhân.

Tổng Quan

Mục tiêu của kẻ tấn công rất rõ ràng: tạo ra dòng doanh thu thụ động liên tục từ máy nạn nhân. Để làm được điều đó, chúng phải giải quyết hai bài toán then chốt: tồn tại lâu dài (persistence) và tối ưu hiệu suất đào (hashrate). Chiến dịch này giải quyết cả hai một cách hoàn hảo bằng một kiến trúc phân tách thông minh.

Điểm vào của chiến dịch rất đỗi quen thuộc: các gói phần mềm lậu, đặc biệt là những bộ cài đặt văn phòng "miễn phí" được quảng cáo trên các diễn đàn, trang web chia sẻ. Chỉ một cú nhấp chuột vào file cài đặt giả mạo cũng đủ để kích hoạt chuỗi lây nhiễm

Cách Thức Hoạt Động Và Lây Lan

Quá trình nhiễm bắt đầu từ một file dropper giả mạo tên "Explorer.exe" – một tên quen thuộc với người dùng Windows để đánh lừa. Khi chạy, file này giải nén các payload từ phần tài nguyên nội bộ của nó và thiết lập cơ chế bền vững. Chiến dịch sử dụng mô hình state machine với các tham số dòng lệnh để chuyển đổi giữa các chế độ: cài đặt, hoạt động, bảo trì và dọn dẹp.

• Lây Lan Qua Thiết Bị Di Động: Malware lắng nghe sự kiện kết nối thiết bị (WM_DEVICECHANGE) và tự sao chép vào USB hoặc ổ đĩa di động. Nó tạo thư mục ẩn, thêm shortcut LNK giả mạo biểu tượng ổ đĩa để lừa người dùng chạy file khi cắm vào máy khác.

• Persistence: Sử dụng mô hình "Hydra" với nhiều watchdog (các file giả mạo như msedge.exe, wps.exe, ksomisc.exe) để giám sát và khởi động lại controller nếu bị tắt. Các file này được ẩn bằng thuộc tính hệ thống và sao chép vào thư mục người dùng. Ngoài ra, nó khai thác driver dễ bị tấn công (WinRing0x64.sys) để chạy ở mức kernel, đảm bảo không bị xóa dễ dàng.

• Quá Trình Đào Tiền: Sử dụng XMRig – công cụ đào Monero phổ biến – được gói trong file "Microsoft Compatbility Telemetry.exe" (typosquatting để tránh phát hiện). Nó tải DLL bên cạnh (kernel32 .dll với khoảng trắng trong tên) để chạy miner. Để tăng hiệu suất, malware khai thác lỗ hổng CVE-2020-14979 trong driver để truy cập Ring 0 và tắt prefetcher phần cứng, tăng tốc độ hash lên 15-50%.

Không có máy chủ điều khiển từ xa (C2); tất cả đều tự chứa trong dropper. Kết nối đến pool khai thác xmr-sg.kryptex.network:8029 và ví Monero: 42DKy5tDGH5MjwWDw2nAj7ZydTsX43cxM5T7zfjPezaEav51eALbqQhDo6ZUgF58tA3s28LnvSTUKTdAZUtqcGXsTBZrDfH.

Kỹ thuật khai thác "Hai Não": Brain & Brawn

Điểm sáng tạo nhất của chiến dịch này nằm ở cách tổ chức. Thay vì một chương trình duy nhất làm mọi thứ, tác giả malware đã chia thành hai thành phần riêng biệt, phối hợp nhịp nhàng:

• "Brain" (Bộ não - Explorer.exe): Đây là trung tâm chỉ huy, chịu trách nhiệm ra quyết định, giám sát và điều phối. Nó được thiết kế gọn nhẹ, ổn định để tránh bị phát hiện hoặc crash. Nếu "công nhân" gặp vấn đề, "người quản lý" này vẫn hoạt động để điều phối công việc khác hoặc "hồi sinh" công nhân.

• "Brawn" (Sức mạnh - Payloads): Đây là những "công nhân" thực hiện các nhiệm vụ nặng nhọc và rủi ro:

  • Miner (thợ đào): "Microsoft Compatbility Telemetry.exe" - một wrapper chứa code đào Monero (XMRig), được ngụy trang khéo léo thành dịch vụ thông thường của Windows (CompatTelRunner.exe).

  • Watchdogs (lính canh): Các tiến trình như msedge.exe, ksomisc.exe... có nhiệm vụ kiểm tra sức khỏe hệ thống nhiễm độc.

  • Exploit Driver (trình điều khiển khai thác): winRing0x64.sys - một driver hợp pháp nhưng có lỗ hổng, bị lợi dụng để leo thang đặc quyền lên nhân hệ thống (Ring 0).

Sự phân tách này giúp malware cực kỳ linh hoạt và khó bị tiêu diệt hoàn toàn.

Phân Tích Chi Tiết

Process A: Main Controller (explorer.exe)

Đây là quy trình chính, chạy trong một vòng lặp vô tận (Main Loop) để đảm bảo malware luôn hoạt động. Quy trình bắt đầu từ trên xuống:

1. Main Loop: Đây là vòng lặp chính, lặp lại liên tục để kiểm tra và duy trì hệ thống.

2. Random Timer: Một bộ đếm thời gian ngẫu nhiên (trigger) để quyết định khi nào kích hoạt hành động tiếp theo. Điều này giúp malware hoạt động không theo lịch cố định, tránh bị phát hiện bởi công cụ giám sát hành vi (behavioral detection).

3. Trigger → Launch "edge.exe": Khi timer kích hoạt, quy trình sẽ khởi chạy Process B (watchdog dưới tên edge.exe). Đây là bước khởi động cơ chế giám sát.

4. Is Keeper File Missing? (Kiểm tra file Keeper có bị thiếu không?):

   • Yes (Có): Nếu file Keeper (có thể là file lưu trữ dữ liệu hoặc khóa persistence) bị thiếu, quy trình sẽ:

     • Re-Drop Keeper: Tái tạo hoặc thả lại file Keeper.

     • Execute Keeper: Thực thi file Keeper để khôi phục trạng thái.

   • No (Không): Nếu file Keeper vẫn còn, quy trình kiểm tra tiếp xem Process B có bị thiếu không.

     • Nếu Process B Missing (Process B bị thiếu): Quy trình sẽ dẫn đến CRASH / TERMINATED (sụp đổ hoặc kết thúc), nhưng thực tế, điều này sẽ kích hoạt cơ chế phục hồi từ Process B.

Kết thúc phần này, nếu mọi thứ ổn, quy trình quay lại Main Loop.

Process B: Watchdog (edge.exe)

Phần dưới lưu đồ mô tả cách watchdog giám sát Process A. Watchdog hoạt động như một "người canh gác", liên tục kiểm tra và khởi động lại nếu cần:

1. Start Watchdog: Bắt đầu quy trình watchdog sau khi được khởi chạy từ Process A.

2. Calculate "./explorer.exe": Tính toán hoặc kiểm tra đường dẫn và trạng thái của Process A (explorer.exe). Điều này có thể bao gồm việc xác thực hash, vị trí file, hoặc trạng thái chạy.

3. CRASH / DELETED (Nếu Process A bị sụp đổ hoặc xóa):

   • Nếu phát hiện Process A "chết", watchdog sẽ thực thi lệnh Exec: "explorer.exe 016" (khởi chạy explorer.exe với tham số 016 – có lẽ là mã để chỉ định chế độ khôi phục hoặc bảo trì).

4. Process A Died: Xác nhận lại nếu Process A đã chết hoàn toàn, dẫn đến CRASH / DELETED (vòng lặp giám sát).

5. Restart Command: Lệnh khởi động lại, dẫn đến Restart "explorer.exe 002" (khởi chạy explorer.exe với tham số 002 – có thể là mã cho chế độ hoạt động bình thường hoặc cài đặt).

Watchdog chạy song song và độc lập, đảm bảo nếu Process A bị tắt (ví dụ: bởi antivirus), nó sẽ được khởi động lại ngay lập tức.

Các Kỹ Thuật Né Tránh Phát Hiện

Kẻ tấn công sử dụng nhiều thủ thuật tinh vi để tránh bị phát hiện:

• Typosquatting và Tên File Lừa Đảo: Sử dụng tên gần giống với file hệ thống chính hãng, như thêm khoảng trắng (explorer .exe) hoặc lỗi chính tả (Compatbility thay vì Compatibility).

• Tấn Công Hệ Thống: Tắt explorer.exe thật để gây rối loạn, sau đó tiêm mã vào để khởi động lại.

• Ẩn Giấu: Thay đổi registry để ẩn mũi tên shortcut, kiểm tra đường dẫn tiến trình để tự nhận diện, và chọn ngẫu nhiên watchdog để chạy.

• Tắt Công Cụ Bảo Mật: Tích cực terminate các tiến trình bảo mật và xóa file liên quan.

IOCs

• Hash File:

  • Controller (Explorer.exe): SHA256 6bd854762e13e9099752ee67b89f841403167358616110033805fc3f218e4d46

  • Driver (WinRing0.sys): SHA256 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

  • Miner Wrapper: SHA256 5936ae20028b79e3ebb58f863960e56f93aed4e7a07f0b39a80205a8a7df5579

• Network: = xmr-sg.kryptex.network:8029.

• Ví Monero: 42DKy5tDGH5MjwWDw2nAj7ZydTsX43cxM5T7zfjPezaEav51eALbqQhDo6ZUgF58tA3s28LnvSTUKTdAZUtqcGXsTBZrDfH.

Khuyến nghị

Để tránh rơi vào bẫy của các chiến dịch tương tự:

• Không được phép cài đặt phần mềm lậu hoặc không rõ nguồn gốc

• Dùng tool kiểm soát thiết bị (chặn USB tự động chạy)

• Bật biện pháp Vulnerable Driver Blocklist để ngăn driver có lỗ hổng

• Chặn truy cập tới các mining pool trên các thiết bị Firewall

Tham khảo

1. https://thehackernews.com/2026/02/wormable-xmrig-campaign-uses-byovd.html

2. Technical Deep Dive: The Monero Mining Campaign