Mã độc PhantomVAI: Mối đe dọa nghiêm trọng qua Process Hollowing

Một **mối đe dọa mạng** tinh vi mang tên **mã độc PhantomVAI** đã xuất hiện trong các chiến dịch lừa đảo (phishing) toàn cầu. Loader tùy chỉnh này được thiết kế để phân phối nhiều loại mã độc đánh cắp thông tin (stealer) và trojan truy cập từ xa (RAT) đến các hệ thống bị xâm nhập.

Loader này hoạt động bằng cách giả mạo phần mềm hợp pháp, sử dụng kỹ thuật **process hollowing** để tiêm các payload độc hại vào các tiến trình của Windows. Điều này khiến việc phát hiện trở nên khó khăn hơn đáng kể.

Phân Tích Kỹ Thuật về **mã độc PhantomVAI** và Kỹ Thuật Process Hollowing

Cơ Chế Hoạt Động Của **mã độc PhantomVAI**

**mã độc PhantomVAI** nhắm mục tiêu vào người dùng trên toàn thế giới thông qua nhiều mồi nhử lừa đảo khác nhau, thường được nhúng trong các tệp đính kèm hoặc liên kết email độc hại.

Sau khi được thực thi, **mã độc PhantomVAI** tải xuống các payload từ xa và tiêm chúng vào các tiến trình Windows hợp pháp.

Các nhà nghiên cứu đã ghi nhận rằng tất cả các biến thể của **mã độc PhantomVAI** đều chia sẻ các đặc điểm quan trọng. Bao gồm sự hiện diện của phương thức “VAI”, các chuỗi tiếng Bồ Đào Nha trong mã nguồn, và hành vi giả mạo “Microsoft.Win32.TaskScheduler.dll” dựa trên một dự án GitHub hợp pháp.

Chức năng cốt lõi của **mã độc PhantomVAI** dựa vào tiện ích RunPE có tên “Mandark”. Tiện ích này được phát triển bởi người dùng “gigajew” trên HackForums và đã được mã nguồn mở vài năm trước. Namespace “hackforums.gigajew” được tìm thấy trong mã của loader xác nhận mối liên hệ này.

Kỹ Thuật Process Hollowing và Quyền Kiểm Soát

Tiện ích RunPE thực hiện **process hollowing** bằng cách tạo một tiến trình hợp pháp bị tạm dừng. Sau đó, nó hủy ánh xạ bộ nhớ của tiến trình đó và tiêm mã độc hại vào.

**mã độc PhantomVAI** đặc biệt lạm dụng phiên bản 2.11.0.0 của thư viện Microsoft Windows Task Scheduler hợp pháp. Malware này trích xuất các trường liên quan từ header của payload đã tải xuống, bao gồm kích thước ảnh (image size), kích thước header (headers size), điểm vào (entry point) và địa chỉ cơ sở (base address).

Quá trình tiêm payload diễn ra theo các bước sau:

• Bắt đầu một tiến trình host.
• Cấp phát bộ nhớ với quyền đọc/ghi/thực thi (R/W/X).
• Sao chép cả PE headers và các section vào vùng bộ nhớ đã cấp phát.
• Patch các thanh ghi bộ xử lý để đảm bảo phân giải import và tái định vị chính xác.
• Tiếp tục luồng để thực thi payload độc hại, từ đó giúp kẻ tấn công chiếm quyền điều khiển hệ thống.

Các Payload Được Phân Phối và Mô Hình Loader-as-a-Service

Các Chủng Mã Độc Phổ Biến Được Phân Phối bởi PhantomVAI

**mã độc PhantomVAI** đã được liên kết với việc phân phối các mối đe dọa khét tiếng. Điều này bao gồm:

• Remcos
• XWorm
• AsyncRAT
• DarkCloud
• SmokeLoader

Các loại mã độc này đã được phát tán rộng rãi trên nhiều khu vực địa lý khác nhau, cho thấy khả năng thích ứng của **mã độc PhantomVAI**.

Sự Không Nhất Quán Trong Đặt Tên

Các nhà nghiên cứu bảo mật từ nhiều tổ chức đã ghi nhận mối đe dọa này dưới các tên khác nhau. Điều này đã tạo ra sự nhầm lẫn trong cộng đồng an ninh mạng về danh tính và khả năng thực sự của nó.

Các nhà phân tích của Intrinsec đã xác định rằng nhiều nhà cung cấp bảo mật đã ghi lại loader này một cách độc lập, gán các tên khác nhau như VMDetectLoader và Caminho Loader cho cùng một mối đe dọa. Sự không nhất quán trong đặt tên này xuất phát từ việc các tổ chức khác nhau phân tích các thành phần khác nhau của loader.

Mô Hình Loader-as-a-Service (LaaS)

Mối đe dọa này hoạt động dưới một mô hình nghi ngờ là loader-as-a-service (LaaS). Bằng chứng rõ ràng cho mô hình này là sự đa dạng lớn của các payload được phân phối và khả năng chấp nhận các URL payload tùy ý làm đối số.

Mô hình LaaS cho phép nhiều tác nhân đe dọa tận dụng cùng một hạ tầng cho các chiến dịch độc hại khác nhau. Điều này góp phần vào bản chất lan rộng của các cuộc tấn công mạng được quan sát trên toàn cầu.