# SilentCryptoMiner Lây Nhiễm 2.000 Người Dùng Thông Qua Công Cụ VPN Giả Mạo

## Thông tin chi tiết

Một chiến dịch phần mềm độc hại quy mô lớn mới đang lây nhiễm cho người dùng bằng một mã độc đào coin có tên **SilentCryptoMiner**, được ngụy trang dưới dạng công cụ VPN. Công ty an ninh mạng Nga **Kaspersky** cho biết hoạt động này nằm trong xu hướng ngày càng gia tăng, khi tội phạm mạng lợi dụng các công cụ **Windows Packet Divert (WPD)** để phát tán phần mềm độc hại dưới vỏ bọc là các chương trình vượt qua giới hạn internet.

Các nhà nghiên cứu **Leonid Bezvershenko, Dmitry Pikush và Oleg Kupreev** cho biết: “Những phần mềm như vậy thường được phân phối dưới dạng tệp nén kèm hướng dẫn cài đặt bằng văn bản, trong đó nhà phát triển khuyến nghị tắt các giải pháp bảo mật với lý do tránh cảnh báo sai. Điều này tạo điều kiện cho kẻ tấn công duy trì hoạt động trong hệ thống không được bảo vệ mà không lo bị phát hiện.”

Chiến thuật này đã được sử dụng trong các kế hoạch phát tán **trình đánh cắp dữ liệu (stealers)**, **công cụ truy cập từ xa (RATs)**, **trojan cung cấp quyền truy cập ẩn**, và **trình đào tiền điện tử** như **NJRat, XWorm, Phemedrone, và DCRat**.

### Chiến dịch mới nhất và thủ đoạn tinh vi

Gần đây, một chiến dịch đã lây nhiễm hơn **2.000 người dùng Nga** bằng một mã độc đào coin được ngụy trang thành công cụ vượt qua các biện pháp kiểm tra gói tin sâu (**DPI - Deep Packet Inspection**). Chương trình này được quảng bá qua một liên kết dẫn đến tệp nén độc hại, xuất hiện trên một kênh YouTube có **60.000 người đăng ký**.

![SilentCryptoMiner Malware](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAFLIHuu5L89SQvpjy8TYfrZiVguXiliTvKk-IoOmkTtrmBnpL1XWRKPc5o8l_4LBW5yT-zFhnORazgDN-UPY8crc6H90Ois7bvyZCSXP0Ub0DxoQHRPZIaqsDstaPHWRtEzcddy9QghgiIJKNEvX2cHypzSQcgFmknso5TfvHFA9tk4rhAVLAkYyXo11D/s728-rw-e365/SilentCryptoMiner_02.png align="left")

Vào tháng 11 năm 2024, kẻ tấn công đã nâng cấp thủ đoạn bằng cách giả mạo các nhà phát triển công cụ hợp pháp, gửi **thông báo vi phạm bản quyền giả** tới chủ các kênh YouTube và Telegram, đe dọa đóng kênh nếu họ không đăng video chứa liên kết độc hại. Đến tháng 12 năm 2024, người dùng báo cáo rằng phiên bản nhiễm phần mềm đào tiền của công cụ này đã lan truyền qua các kênh Telegram và YouTube khác, dù những kênh này sau đó đã bị đóng.

### Cách thức hoạt động của SilentCryptoMiner

Các tệp nén độc hại chứa thêm một tệp thực thi (**executable**) bổ sung, với một trong những tập lệnh hợp pháp bị chỉnh sửa để chạy tệp nhị phân thông qua **PowerShell**. Nếu phần mềm diệt virus trên hệ thống phát hiện và xóa tệp độc hại, người dùng sẽ nhận được thông báo lỗi, khuyến khích họ tải lại tệp và chạy sau khi tắt bảo mật.

Tệp thực thi này là một **trình tải (loader) dựa trên Python**, được thiết kế để lấy phần mềm độc hại giai đoạn tiếp theo - một tập lệnh Python khác - tải xuống **SilentCryptoMiner** và thiết lập khả năng duy trì hoạt động lâu dài. Trước khi hoạt động, nó kiểm tra xem có đang chạy trong môi trường thử nghiệm (**sandbox**) hay không và thiết lập ngoại lệ cho **Windows Defender**.

Trình đào này, dựa trên mã nguồn mở **XMRig**, được chèn thêm các khối dữ liệu ngẫu nhiên để tăng kích thước tệp lên **690 MB**, nhằm làm khó quá trình phân tích tự động của phần mềm diệt virus và sandbox. Kaspersky cho biết: “Để ẩn mình, SilentCryptoMiner sử dụng kỹ thuật **process hollowing** để tiêm mã đào tiền vào một tiến trình hệ thống (trong trường hợp này là **dwm.exe**). Phần mềm độc hại có thể tạm dừng đào khi các tiến trình được chỉ định trong cấu hình đang hoạt động và được điều khiển từ xa qua một bảng điều khiển web.”

### Xu hướng tấn công tương lai và nguy cơ đối với các tổ chức Việt Nam

SilentCryptoMiner không chỉ là mối đe dọa tại Nga mà còn có khả năng lan rộng sang các quốc gia khác, bao gồm **Việt Nam**, nơi người dùng ngày càng phụ thuộc vào các công cụ VPN để vượt qua hạn chế truy cập internet. Với sự phát triển của các nền tảng như YouTube, Telegram và TikTok tại Việt Nam, tội phạm mạng có thể dễ dàng tận dụng các kênh truyền thông xã hội phổ biến để phát tán phần mềm độc hại tương tự.

Trong tương lai, các cuộc tấn công có thể nhắm đến người dùng Việt Nam bằng cách **ngụy trang phần mềm độc hại dưới dạng công cụ miễn phí** như VPN, trình tăng tốc mạng, hoặc phần mềm vượt tường lửa. Đặc biệt, với xu hướng sử dụng tiền điện tử ngày càng tăng tại Việt Nam, các trình đào tiền ẩn như SilentCryptoMiner có thể âm thầm khai thác tài nguyên máy tính của người dùng mà không bị phát hiện. Kẻ tấn công cũng có thể lợi dụng sự thiếu hiểu biết về an ninh mạng của một bộ phận người dùng, khuyến khích họ tắt phần mềm bảo mật, từ đó mở rộng quy mô lây nhiễm.

Để bảo vệ bản thân, người dùng Việt Nam cần **kiểm tra nguồn gốc phần mềm** trước khi tải xuống, tránh nhấp vào liên kết từ các kênh không đáng tin cậy, và duy trì cập nhật các giải pháp bảo mật như antivirus. Các cơ quan chức năng cũng nên tăng cường giám sát và nâng cao nhận thức cộng đồng về các mối đe dọa mạng tinh vi như thế này trong bối cảnh kỹ thuật số hóa ngày càng sâu rộng.

## IOCs

**MD5 Hash**

`574ed9859fcdcc060e912cb2a8d1142c`

`91b7cfd1f9f08c24e17d730233b80d5f`

`9808b8430667f896bcc0cb132057a683`

`0c380d648c0c4b65ff66269e331a0f00`

`1f52ec40d3120014bb9c6858e3ba907f`

`a14794984c8f8ab03b21890ecd7b89cb`

`a2a9eeb3113a3e6958836e8226a8f78f`

`5c5c617b53f388176173768ae19952e8`

`ac5cb1c0be04e68c7aee9a4348b37195`

**C&C**

`hxxp://gitrok[.]com`

`hxxp://swapme[.]fun`

`hxxp://canvas[.]pet`

`hxxp://9x9o[.]com`

`193.233.203[.]138`

`150.241.93[.]90`

## Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị một số biện pháp để phòng tránh SilentCryptoMiner và các mối đe dọa tương tự cho các tổ chức tại Việt Nam:

* Trước khi tải xuống bất kỳ công cụ nào, đặc biệt là VPN miễn phí hoặc phần mềm vượt tường lửa, hãy kiểm tra nguồn gốc của tệp từ các trang web chính thức hoặc nhà cung cấp uy tín. Tránh tải phần mềm từ các liên kết không rõ ràng trên mạng xã hội, diễn đàn, hoặc kênh YouTube/Telegram không đáng tin cậy.
    
* Đối với tổ chức cần triển khai các giải pháp bảo mật cấp doanh nghiệp như **Endpoint Detection and Response (EDR)** để phát hiện và ngăn chặn các hành vi bất thường như process hollowing hoặc khai thác tài nguyên hệ thống.
    
* Đào tạo nhân viên về an ninh mạng, đặc biệt là cách nhận diện email lừa đảo, tệp nén độc hại, và các chiến thuật ép buộc tắt bảo mật.
    
* Thiết lập chính sách cấm cài đặt phần mềm không được phê duyệt trên thiết bị công ty.
    

## Tham khảo

[SilentCryptoMiner Infects 2,000 Russian Users via Fake VPN and DPI Bypass Tools](https://thehackernews.com/2025/03/silentcryptominer-infects-2000-russian.html)

[Undercover miner: how YouTubers get pressed into distributing SilentCryptoMiner as a restriction bypass tool](https://securelist.com/silentcryptominer-spreads-through-blackmail-on-youtube/115788/)
