Malware Proxyware Nguy Hiểm: Chiếm Đoạt Băng Thông Kín Đáo

Một chiến dịch **malware proxyware** tinh vi đã xuất hiện, nhắm mục tiêu vào người dùng bằng cách ngụy trang phần mềm độc hại thành các trình cài đặt Notepad++ hợp pháp. Cuộc tấn công này được dàn dựng bởi tác nhân đe dọa **Larva-25012**, khai thác người dùng tìm kiếm phần mềm bẻ khóa thông qua các trang quảng cáo lừa đảo và cổng tải xuống giả mạo.

Malware này chiếm đoạt băng thông internet của nạn nhân mà không được sự đồng ý, cho phép kẻ tấn công kiếm lợi bằng cách chia sẻ tài nguyên mạng với các bên thứ ba. Phương pháp này, được gọi là **proxyjacking**, tương tự như cryptojacking nhưng tập trung vào việc kiếm tiền từ băng thông mạng thay vì sức mạnh tính toán.

Tổng quan về Proxyjacking và Chiến thuật tấn công mạng

Chiến dịch **proxyjacking** đã tác động đáng kể đến các hệ thống mục tiêu, với việc phân phối chủ yếu thông qua các trang web mạo danh cổng tải xuống phần mềm lậu. Các tệp độc hại được lưu trữ trên kho lưu trữ GitHub và được phân phối dưới dạng trình cài đặt **MSI** hoặc kho lưu trữ **ZIP**.

Những gói này chứa cả các thành phần Notepad++ hợp pháp và phần mềm độc hại ẩn. Sau khi được thực thi, **malware proxyware** thiết lập cơ chế duy trì thông qua các mục **Windows Task Scheduler** và triển khai các chương trình proxyware như **Infatica** và **DigitalPulse**.

Các chương trình này hoạt động âm thầm trong nền, chuyển hướng băng thông của nạn nhân để tạo doanh thu cho kẻ tấn công.

Sự Tiến hóa trong Kỹ thuật Né tránh Phát hiện

Các nhà phân tích bảo mật đã xác định chiến dịch này và ghi nhận sự phát triển liên tục trong các chiến thuật của kẻ tấn công nhằm né tránh phát hiện. Ban đầu, tác nhân đe dọa sử dụng **malware** dựa trên .NET.

Tuy nhiên, chúng đã chuyển sang các biến thể được phát triển bằng **C++** và **Python**, áp dụng các kỹ thuật injection nâng cao nhắm mục tiêu vào quy trình **Windows Explorer**. Sự tiến triển này thể hiện quyết tâm của kẻ tấn công trong việc vượt qua các giải pháp bảo mật và duy trì kiểm soát hệ thống bị xâm nhập.

Để biết thêm chi tiết về phân tích chiến dịch này, độc giả có thể tham khảo báo cáo từ ASEC AhnLab.

Chuỗi Lây nhiễm và Kỹ thuật DLL Side-Loading

Chuỗi lây nhiễm bắt đầu khi người dùng tải xuống một gói trông giống như trình cài đặt **Notepad++** từ các trang web lừa đảo. Tuy nhiên, gói đã tải xuống chứa các tệp **DLL** độc hại được thực thi thông qua **kỹ thuật DLL side-loading**.

Malware sau đó inject **shellcode** vào các quy trình Windows hợp pháp, triển khai các script **PowerShell** để cài đặt các thành phần bổ sung như **NodeJS** hoặc **Python**, và tạo nhiều tệp loader bị xáo trộn.

Những loader này giao tiếp với máy chủ **command-and-control (C2)**, truy xuất lệnh và cài đặt các module proxyware khai thác kết nối mạng của nạn nhân. Đây là một phương thức hiệu quả để đảm bảo sự bền bỉ của **malware proxyware**.

Các Biến thể Phân phối Chính của Malware Proxyware

Malware sử dụng hai biến thể phân phối chính: **Setup.msi** và **Setup.zip**.

Biến thể MSI (C++-based DLL)

Biến thể **MSI** cài đặt một **DLL** dựa trên **C++** tự đăng ký trong **Windows Task Scheduler** với tên “**Notepad Update Scheduler**” và khởi chạy thông qua **Rundll32.exe**. **DLL** này inject **shellcode** vào **AggregatorHost.exe**, tạo ra một script **PowerShell**.

Script **PowerShell** này có trách nhiệm cài đặt **NodeJS** và tạo các tệp **JavaScript malware** bị xáo trộn, được gọi là **DPLoader**. Để duy trì tính tàng hình, script sửa đổi chính sách của **Windows Defender** bằng cách thêm các đường dẫn loại trừ, vô hiệu hóa thông báo bảo mật và ngăn chặn việc gửi mẫu malware.

# Ví dụ về các lệnh PowerShell có thể được sử dụng để sửa đổi Windows Defender# (Mã thực tế có thể khác và bị xáo trộn)# Thêm đường dẫn loại trừSet-MpPreference -ExclusionPath "C:\Path\To\Malware\"# Vô hiệu hóa thông báo bảo mậtSet-MpPreference -DisableNotifications $true# Ngăn chặn gửi mẫu malware tự độngSet-MpPreference -MAPSReporting Disabled

Biến thể ZIP (Python-based DPLoader)

Biến thể **ZIP** chứa cả **Setup.exe** và một loader độc hại có tên **TextShaping.dll**. Khi người dùng khởi chạy trình cài đặt, **kỹ thuật DLL side-loading** tự động thực thi **malware**.

**TextShaping.dll** giải mã **shellcode** được nhúng để triển khai một dropper trực tiếp trong bộ nhớ. Dropper này cài đặt **Python** từ các nguồn chính thức, tạo ra một biến thể **DPLoader** dựa trên **Python**, và đăng ký một launcher **VBS** trong **Task Scheduler** để đảm bảo thực thi liên tục.

Payload Cuối cùng và Kiểm soát Hệ thống

Cuối cùng, **malware** inject payload cuối cùng vào **explorer.exe**, nơi phần mềm **DigitalPulse proxyware** chạy như một chương trình dựa trên **Go** đã bị xáo trộn. Chương trình **proxyware** này thực hiện chức năng chính là chiếm quyền điều khiển băng thông để tạo ra lợi nhuận bất chính cho kẻ tấn công.

Sự phức tạp trong các kỹ thuật né tránh phát hiện và duy trì quyền kiểm soát cho thấy mức độ tinh vi của chiến dịch **malware proxyware** này, đòi hỏi các tổ chức và người dùng cần tăng cường cảnh giác và áp dụng các biện pháp bảo mật chặt chẽ.