SilentCryptoMiner Lây Nhiễm 2.000 Người Dùng Thông Qua Công Cụ VPN Giả Mạo

Thông tin chi tiết

Một chiến dịch phần mềm độc hại quy mô lớn mới đang lây nhiễm cho người dùng bằng một mã độc đào coin có tên SilentCryptoMiner, được ngụy trang dưới dạng công cụ VPN. Công ty an ninh mạng Nga Kaspersky cho biết hoạt động này nằm trong xu hướng ngày càng gia tăng, khi tội phạm mạng lợi dụng các công cụ Windows Packet Divert (WPD) để phát tán phần mềm độc hại dưới vỏ bọc là các chương trình vượt qua giới hạn internet.

Các nhà nghiên cứu Leonid Bezvershenko, Dmitry Pikush và Oleg Kupreev cho biết: “Những phần mềm như vậy thường được phân phối dưới dạng tệp nén kèm hướng dẫn cài đặt bằng văn bản, trong đó nhà phát triển khuyến nghị tắt các giải pháp bảo mật với lý do tránh cảnh báo sai. Điều này tạo điều kiện cho kẻ tấn công duy trì hoạt động trong hệ thống không được bảo vệ mà không lo bị phát hiện.”

Chiến thuật này đã được sử dụng trong các kế hoạch phát tán trình đánh cắp dữ liệu (stealers), công cụ truy cập từ xa (RATs), trojan cung cấp quyền truy cập ẩn, và trình đào tiền điện tử như NJRat, XWorm, Phemedrone, và DCRat.

Chiến dịch mới nhất và thủ đoạn tinh vi

Gần đây, một chiến dịch đã lây nhiễm hơn 2.000 người dùng Nga bằng một mã độc đào coin được ngụy trang thành công cụ vượt qua các biện pháp kiểm tra gói tin sâu (DPI - Deep Packet Inspection). Chương trình này được quảng bá qua một liên kết dẫn đến tệp nén độc hại, xuất hiện trên một kênh YouTube có 60.000 người đăng ký.

SilentCryptoMiner Malware

Vào tháng 11 năm 2024, kẻ tấn công đã nâng cấp thủ đoạn bằng cách giả mạo các nhà phát triển công cụ hợp pháp, gửi thông báo vi phạm bản quyền giả tới chủ các kênh YouTube và Telegram, đe dọa đóng kênh nếu họ không đăng video chứa liên kết độc hại. Đến tháng 12 năm 2024, người dùng báo cáo rằng phiên bản nhiễm phần mềm đào tiền của công cụ này đã lan truyền qua các kênh Telegram và YouTube khác, dù những kênh này sau đó đã bị đóng.

Cách thức hoạt động của SilentCryptoMiner

Các tệp nén độc hại chứa thêm một tệp thực thi (executable) bổ sung, với một trong những tập lệnh hợp pháp bị chỉnh sửa để chạy tệp nhị phân thông qua PowerShell. Nếu phần mềm diệt virus trên hệ thống phát hiện và xóa tệp độc hại, người dùng sẽ nhận được thông báo lỗi, khuyến khích họ tải lại tệp và chạy sau khi tắt bảo mật.

Tệp thực thi này là một trình tải (loader) dựa trên Python, được thiết kế để lấy phần mềm độc hại giai đoạn tiếp theo - một tập lệnh Python khác - tải xuống SilentCryptoMiner và thiết lập khả năng duy trì hoạt động lâu dài. Trước khi hoạt động, nó kiểm tra xem có đang chạy trong môi trường thử nghiệm (sandbox) hay không và thiết lập ngoại lệ cho Windows Defender.

Trình đào này, dựa trên mã nguồn mở XMRig, được chèn thêm các khối dữ liệu ngẫu nhiên để tăng kích thước tệp lên 690 MB, nhằm làm khó quá trình phân tích tự động của phần mềm diệt virus và sandbox. Kaspersky cho biết: “Để ẩn mình, SilentCryptoMiner sử dụng kỹ thuật process hollowing để tiêm mã đào tiền vào một tiến trình hệ thống (trong trường hợp này là dwm.exe). Phần mềm độc hại có thể tạm dừng đào khi các tiến trình được chỉ định trong cấu hình đang hoạt động và được điều khiển từ xa qua một bảng điều khiển web.”

Xu hướng tấn công tương lai và nguy cơ đối với các tổ chức Việt Nam

SilentCryptoMiner không chỉ là mối đe dọa tại Nga mà còn có khả năng lan rộng sang các quốc gia khác, bao gồm Việt Nam, nơi người dùng ngày càng phụ thuộc vào các công cụ VPN để vượt qua hạn chế truy cập internet. Với sự phát triển của các nền tảng như YouTube, Telegram và TikTok tại Việt Nam, tội phạm mạng có thể dễ dàng tận dụng các kênh truyền thông xã hội phổ biến để phát tán phần mềm độc hại tương tự.

Trong tương lai, các cuộc tấn công có thể nhắm đến người dùng Việt Nam bằng cách ngụy trang phần mềm độc hại dưới dạng công cụ miễn phí như VPN, trình tăng tốc mạng, hoặc phần mềm vượt tường lửa. Đặc biệt, với xu hướng sử dụng tiền điện tử ngày càng tăng tại Việt Nam, các trình đào tiền ẩn như SilentCryptoMiner có thể âm thầm khai thác tài nguyên máy tính của người dùng mà không bị phát hiện. Kẻ tấn công cũng có thể lợi dụng sự thiếu hiểu biết về an ninh mạng của một bộ phận người dùng, khuyến khích họ tắt phần mềm bảo mật, từ đó mở rộng quy mô lây nhiễm.

Để bảo vệ bản thân, người dùng Việt Nam cần kiểm tra nguồn gốc phần mềm trước khi tải xuống, tránh nhấp vào liên kết từ các kênh không đáng tin cậy, và duy trì cập nhật các giải pháp bảo mật như antivirus. Các cơ quan chức năng cũng nên tăng cường giám sát và nâng cao nhận thức cộng đồng về các mối đe dọa mạng tinh vi như thế này trong bối cảnh kỹ thuật số hóa ngày càng sâu rộng.

IOCs

MD5 Hash

574ed9859fcdcc060e912cb2a8d1142c

91b7cfd1f9f08c24e17d730233b80d5f

9808b8430667f896bcc0cb132057a683

0c380d648c0c4b65ff66269e331a0f00

1f52ec40d3120014bb9c6858e3ba907f

a14794984c8f8ab03b21890ecd7b89cb

a2a9eeb3113a3e6958836e8226a8f78f

5c5c617b53f388176173768ae19952e8

ac5cb1c0be04e68c7aee9a4348b37195

C&C

hxxp://gitrok[.]com

hxxp://swapme[.]fun

hxxp://canvas[.]pet

hxxp://9x9o[.]com

193.233.203[.]138

150.241.93[.]90

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị một số biện pháp để phòng tránh SilentCryptoMiner và các mối đe dọa tương tự cho các tổ chức tại Việt Nam:

Trước khi tải xuống bất kỳ công cụ nào, đặc biệt là VPN miễn phí hoặc phần mềm vượt tường lửa, hãy kiểm tra nguồn gốc của tệp từ các trang web chính thức hoặc nhà cung cấp uy tín. Tránh tải phần mềm từ các liên kết không rõ ràng trên mạng xã hội, diễn đàn, hoặc kênh YouTube/Telegram không đáng tin cậy.
Đối với tổ chức cần triển khai các giải pháp bảo mật cấp doanh nghiệp như Endpoint Detection and Response (EDR) để phát hiện và ngăn chặn các hành vi bất thường như process hollowing hoặc khai thác tài nguyên hệ thống.
Đào tạo nhân viên về an ninh mạng, đặc biệt là cách nhận diện email lừa đảo, tệp nén độc hại, và các chiến thuật ép buộc tắt bảo mật.
Thiết lập chính sách cấm cài đặt phần mềm không được phê duyệt trên thiết bị công ty.