Cảnh báo: Chiến dịch Phishing Nguy hiểm Dùng AI Tạo Mã Độc PureRAT

Một chiến dịch phishing phức tạp đang thu hút sự chú ý trong giới an ninh mạng, với đặc điểm nổi bật là việc sử dụng trí tuệ nhân tạo (AI) để tạo ra mã độc. Chiến dịch này tập trung phát tán mã độc PureRAT thông qua các cơ hội việc làm giả mạo, nhắm vào các cá nhân và tổ chức trên toàn cầu. Được phát hiện lần đầu vào tháng 12 năm 2025, cuộc tấn công này thể hiện sự tiến hóa đáng lo ngại trong chiến thuật của các tác nhân đe dọa. Chúng kết hợp kỹ thuật xã hội tinh vi với công cụ tấn công được tự động hóa để xâm nhập các hệ thống.

Chuỗi Tấn Công và Kỹ thuật Lừa đảo

Các cuộc tấn công bắt đầu bằng các email phishing được ngụy trang cẩn thận, xuất hiện dưới dạng lời mời làm việc hợp pháp từ các công ty uy tín. Mục tiêu của chiến dịch phishing này là lừa nạn nhân mở các tệp đính kèm độc hại. Những tin nhắn này thường chứa các tệp nén ZIP với tên gọi hấp dẫn, liên quan đến chủ đề công việc, nhằm thu hút sự chú ý của người nhận.

Các ví dụ về tên tệp nén bao gồm “New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip” hoặc “Salary and Benefits Package.zip”. Khi người nhận mở các tệp nén này, một chuỗi lây nhiễm phức tạp sẽ được kích hoạt. Chuỗi này cuối cùng dẫn đến việc cài đặt mã độc PureRAT hoặc các payload độc hại khác, chẳng hạn như các công cụ HVNC (Hidden Virtual Network Computing).

Kỹ thuật DLL Sideloading để Duy trì Tàng hình

Các tệp nén độc hại thường chứa các tệp thực thi hợp pháp đã bị sửa đổi để thực hiện các cuộc tấn công DLL sideloading. Đây là một kỹ thuật phổ biến để thực thi mã độc. Các tệp như “adobereader.exe” hoặc “Salary_And_Responsibility_Table.exe”, vốn là các ứng dụng hợp lệ, được sử dụng để tải các thư viện liên kết động (DLL) độc hại thay vì các DLL hợp lệ. Các DLL độc hại được sử dụng trong chiến dịch này bao gồm oledlg.dll, msimg32.dll, version.dll, và profapi.dll.

Những DLL này đóng vai trò là trình tải (loader) cho payload cuối cùng của mã độc PureRAT. Chúng chịu trách nhiệm thiết lập các cơ chế duy trì quyền truy cập (persistence) và duy trì trạng thái ẩn mình (stealth) trong suốt quá trình lây nhiễm. Kỹ thuật DLL sideloading giúp mã độc khó bị phát hiện bởi các giải pháp an ninh truyền thống, vì nó tận dụng các tiến trình hợp pháp để thực thi mã độc.

Để hiểu rõ hơn về cách thức hoạt động của kỹ thuật này và các ví dụ cụ thể, có thể tham khảo thêm thông tin chi tiết về DLL sideloading trên các hệ thống Windows.

Phân tích Kỹ thuật và Chức năng của Mã Độc PureRAT

Khi được thực thi, script batch độc hại sẽ tiến hành tạo một thư mục ẩn trong đường dẫn %LOCALAPPDATA%\Google Chrome của hệ điều hành Windows. Thư mục này thường có tên ngẫu nhiên, ví dụ %LOCALAPPDATA%\Google Chrome\[random_string], nhằm che giấu sự hiện diện của mã độc PureRAT khỏi người dùng thông thường và các công cụ giám sát.

Tiếp theo, script sẽ đổi tên các tệp có vẻ vô hại, chẳng hạn như “document.pdf” và “document.docx”, thành định dạng tệp nén. Nội dung của các tệp này sau đó được giải nén bằng cách sử dụng các công cụ nén tích hợp sẵn và một mật khẩu cụ thể là “[email protected]”. Sau quá trình giải nén, một payload dựa trên Python sẽ được thực thi. Đây là một bước quan trọng trong việc triển khai payload chính của chiến dịch phishing này.

Payload Python này có nhiệm vụ thu thập mã độc được mã hóa Base64 từ các máy chủ chỉ huy và kiểm soát (C2) từ xa, do các tác nhân tấn công vận hành. Việc sử dụng mã hóa Base64 giúp che giấu phần nào bản chất của mã độc khi truyền qua mạng, gây khó khăn cho việc phát hiện qua các hệ thống phát hiện xâm nhập (IDS/IPS) thông thường.

Cơ chế Duy trì Quyền Truy cập (Persistence)

Một trong những mục tiêu chính của mã độc PureRAT là thiết lập và duy trì quyền truy cập lâu dài vào hệ thống bị xâm nhập. Để đạt được điều này, mã độc sẽ thêm một mục mới vào khóa Run của Windows Registry. Mục này được đặt tên là “ChromeUpdate”, đảm bảo rằng mã độc sẽ tự động thực thi mỗi khi hệ thống khởi động. Cơ chế persistence này là tối quan trọng để các tác nhân tấn công có thể liên tục kiểm soát máy nạn nhân.

Sau khi thiết lập persistence thành công, script sẽ tự động mở một tài liệu PDF hợp pháp từ thư mục ẩn đã tạo trước đó. Kỹ thuật này được thiết kế để đánh lừa nạn nhân, khiến họ tin rằng họ chỉ vừa mở một tệp tin bình thường, từ đó giảm thiểu sự nghi ngờ. Điều này cho phép mã độc PureRAT hoạt động mà không bị phát hiện, đồng thời thực hiện các hành vi độc hại như thu thập dữ liệu nhạy cảm hoặc cung cấp quyền truy cập từ xa vào hệ thống bị xâm nhập. Để hiểu sâu hơn về các kỹ thuật duy trì quyền truy cập, bạn có thể tham khảo phân tích chi tiết về persistence.

Nhận diện AI tạo mã độc và Các Chỉ số Tấn công (IOCs)

Phân tích của các nhà nghiên cứu an ninh mạng, đặc biệt là Symantec, đã chỉ ra nhiều dấu hiệu cho thấy các script độc hại trong chiến dịch phishing này được tạo ra bằng trí tuệ nhân tạo. Các tệp batch và mã Python chứa các bình luận chi tiết bằng tiếng Việt, giải thích từng bước thực hiện. Bên cạnh đó, có các hướng dẫn được đánh số rõ ràng và thậm chí là các biểu tượng emoji trong chú thích mã. Đây là những đặc điểm ít khi thấy trong mã độc viết thủ công, mà thường xuất hiện trong lập trình do AI tạo ra.

Mức độ tài liệu hóa và chi tiết trong mã độc này là một chỉ dấu mạnh mẽ về sự tham gia của AI tạo mã độc. Điều này có ý nghĩa quan trọng trong bối cảnh mối đe dọa mạng ngày càng phức tạp. Việc sử dụng AI giúp các tác nhân đe dọa tạo ra các biến thể mã độc nhanh chóng và hiệu quả hơn, đôi khi khó bị phát hiện bằng các phương pháp truyền thống. Nghiên cứu của Symantec đã làm rõ thêm về vai trò của AI trong chiến dịch phishing này: AI và Phishing PureRAT.

Chỉ số Nhận diện Tấn công (IOCs)

Để hỗ trợ việc phát hiện, ngăn chặn và phản ứng với chiến dịch phishing này, dưới đây là danh sách các chỉ số nhận diện tấn công (IOCs) quan trọng:

• Tên tệp ZIP giả mạo (ví dụ):
  • New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip
  • Salary and Benefits Package.zip
• Tệp thực thi hợp pháp bị lạm dụng cho DLL Sideloading:
  • adobereader.exe
  • Salary_And_Responsibility_Table.exe
• DLL độc hại (Loaders):
  • oledlg.dll
  • msimg32.dll
  • version.dll
  • profapi.dll
• Thư mục ẩn được tạo bởi mã độc: %LOCALAPPDATA%\Google Chrome\[random_string] (trong đó [random_string] là một chuỗi ký tự ngẫu nhiên)
• Mật khẩu giải nén tệp độc hại: [email protected]
• Khóa Registry Persistence:
  • Vị trí: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Tên mục: ChromeUpdate

Kỹ thuật Giám sát và Phòng ngừa

Việc giám sát liên tục hoạt động của hệ thống là yếu tố then chốt để phát hiện các tệp nén đáng ngờ, các tiến trình thực thi bất thường và các thay đổi không mong muốn trong Registry. Các lệnh CLI có thể được sử dụng để kiểm tra sự tồn tại của các khóa Registry liên quan đến persistence:

reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ChromeUpdate

Để phát hiện các thư mục ẩn được tạo bởi mã độc PureRAT, có thể sử dụng các lệnh sau trong Command Prompt hoặc PowerShell:

dir %LOCALAPPDATA%\Google Chrome /a:hd

Các tổ chức nên tăng cường đào tạo nhận thức về an ninh mạng cho nhân viên để chống lại các chiến dịch phishing. Việc cảnh giác với các email không mong muốn, đặc biệt là những email liên quan đến cơ hội việc làm hoặc gói lương thưởng, là rất quan trọng. Các giải pháp an ninh mạng tiên tiến như Symantec Endpoint Products đã được cập nhật để phát hiện và chặn các tệp độc hại được xác định trong chiến dịch này. Việc triển khai các giải pháp bảo vệ điểm cuối (Endpoint Protection) mạnh mẽ và cập nhật thường xuyên là cần thiết để bảo vệ hệ thống khỏi các mối đe dọa đang phát triển như chiến dịch phishing này.