Nghiêm trọng: Mã độc PureHVNC tấn công mạng tinh vi

Một chiến dịch tấn công mạng mới đã được phát hiện, lợi dụng Google Forms, một công cụ hàng ngày đáng tin cậy, để phát tán mã độc. Chiến dịch này sử dụng các chiêu dụ liên quan đến kinh doanh, bao gồm các lời mời phỏng vấn giả, tóm tắt dự án và tài liệu tài chính, nhằm phân phối trojan truy cập từ xa (RAT) có tên mã độc PureHVNC vào các máy mục tiêu.

Điểm khác biệt của chiến dịch này không nằm ở bản thân mã độc, mà ở kênh lây nhiễm ban đầu mà kẻ tấn công lựa chọn.

Phương thức Lây nhiễm Ban đầu và Kỹ thuật Phishing

Chiến dịch bắt đầu bằng một Google Form được thiết kế tinh vi để giống như một quy trình tuyển dụng hoặc kinh doanh thực sự. Các biểu mẫu này yêu cầu chi tiết chuyên môn như lịch sử làm việc và thông tin cá nhân, tạo cảm giác đáng tin cậy cho nạn nhân.

Sau khi gửi, mục tiêu sẽ được chuyển hướng đến một tệp ZIP có chủ đề kinh doanh, được lưu trữ trên các nền tảng như Dropbox, filedn.com và fshare.vn, hoặc thông qua các công cụ rút gọn URL như tr.ee và goo.su để che giấu điểm đến thực sự.

Kẻ tấn công cũng phát tán các liên kết này qua LinkedIn, tiếp cận các chuyên gia đang tìm kiếm việc làm hoặc cơ hội mới. Các nhà phân tích tại Malwarebytes đã xác định nhiều biến thể của chiến dịch này và ghi nhận rằng các tác nhân đe dọa mạo danh các công ty nổi tiếng trong các lĩnh vực tài chính, logistics, công nghệ, bền vững và năng lượng. Bạn có thể tìm hiểu thêm về các biến thể tại Malwarebytes Blog.

Các biểu mẫu giả mạo hiển thị tên công ty thật, logo và thương hiệu, khiến người dùng bình thường khó nhận ra đây là lừa đảo. Tên tệp lưu trữ như “Project_Information_Summary_2026.zip” và “{CompanyName}_GlobalLogistics_Ad_Strategy.zip” cho thấy mức độ tính toán và cố ý của sự lừa dối này.

Mã độc PureHVNC RAT và Khả năng Vận hành

PureHVNC là một RAT mô-đun dựa trên .NET, thuộc họ mã độc “Pure”. Khi xâm nhập vào máy tính, nó cung cấp cho kẻ tấn công quyền kiểm soát từ xa hoàn toàn, cho phép thực thi lệnh, đánh cắp dữ liệu từ trình duyệt, ví tiền điện tử và các ứng dụng nhắn tin như Telegram và Foxmail, thu thập thông tin phần cứng và phần mềm, cũng như cài đặt các plugin bổ sung.

Cấu hình của nó được mã hóa bằng base64 và nén với GZIP. Máy chủ C2 đã được xác định có IP là 207.148.66.14, có thể truy cập qua các cổng 56001, 56002 và 56003.

Phạm vi của chiến dịch rất rộng, nhắm vào các ngành công nghiệp mà việc chia sẻ tài liệu là thường lệ và các chuyên gia thường xuyên nhận được tệp từ các liên hệ bên ngoài, khiến việc phát hiện một tệp đính kèm độc hại trở nên khó khăn.

Chuỗi Lây nhiễm Chi tiết và Kỹ thuật Né tránh

Giai đoạn ban đầu: DLL Hijacking

Chuỗi lây nhiễm đằng sau PureHVNC được phân lớp và cố ý xây dựng để tránh bị phát hiện ở mỗi bước. Sau khi nạn nhân giải nén tệp ZIP đã tải xuống, họ sẽ tìm thấy các tài liệu liên quan đến công việc cùng với một tệp thực thi ẩn và một DLL có tên msimg32.dll.

DLL đó được thực thi thông qua kỹ thuật DLL hijacking, lừa một ứng dụng hợp pháp tải mã độc mà không gây ra cảnh báo rõ ràng. Để hiểu rõ hơn về DLL hijacking, bạn có thể tham khảo bài viết tại Cyber Security News.

Khi chạy, DLL sẽ giải mã các chuỗi thông qua XOR với khóa “4B” và kiểm tra môi trường phân tích bằng cách sử dụng IsDebuggerPresent() và time64(). Nếu phát hiện hoạt động sandbox hoặc debug, mã độc sẽ hiển thị lỗi “This software has expired or debugger detected” và dừng lại.

DLL sau đó tự xóa khỏi đĩa, thả một tệp PDF giả để giữ cho nạn nhân bận rộn và thêm một mục nhập registry tại CurrentVersion\Run\Miroupdate để thiết lập khả năng duy trì quyền truy cập sớm.

Giai đoạn tiếp theo: Tiêm mã độc và Duy trì quyền truy cập

Trong giai đoạn tiếp theo, một tệp lưu trữ ẩn có tên final.zip được giải nén vào một thư mục ngẫu nhiên bên trong ProgramData. Một tập lệnh Python bị làm rối (obfuscated) — được đặt tên là config.log hoặc image.mp3 tùy thuộc vào biến thể — sẽ giải mã và khởi chạy Donut shellcode trong bộ nhớ.

Shellcode này tiêm mã độc PureHVNC vào SearchUI.exe, một tiến trình Windows hợp pháp. Để duy trì quyền truy cập, mã độc tạo một tác vụ theo lịch trình (scheduled task) thông qua một lệnh PowerShell được mã hóa base64 ở cấp độ đặc quyền cao nhất khi có quyền quản trị. Điều này giúp kẻ tấn công chiếm quyền điều khiển hệ thống.

Mã độc này cũng để lại mutex “Rluukgz” trên máy chủ như một dấu hiệu nhận biết.

Một ví dụ minh họa về lệnh PowerShell để tạo scheduled task (thường được mã hóa base64):

powershell.exe -NoP -NonI -W Hidden -Exec Bypass -EncodedCommand [Base64_Encoded_Command_Here]

Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch mã độc PureHVNC này bao gồm:

• C2 Server: 207.148.66.14
• C2 Ports: 56001, 56002, 56003
• Mutex: Rluukgz
• Tên tệp DLL độc hại: msimg32.dll
• Tên tệp Python bị làm rối: config.log, image.mp3
• Registry Persistence: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Miroupdate

Biện pháp Phòng ngừa và Phát hiện

Đối với Người dùng Cá nhân và Tổ chức

Để giảm thiểu rủi ro tiếp xúc với chiến dịch này, người dùng và tổ chức nên thực hiện các bước sau:

• Luôn xác minh nguồn gốc của Google Form trước khi gửi bất kỳ thông tin nào hoặc tải xuống các tệp liên kết.
• Kiểm tra lại các lời mời làm việc hoặc yêu cầu dự án không mong muốn thông qua các trang web chính thức của công ty và các liên hệ đã biết.
• Tránh nhấp vào các liên kết bị ẩn đằng sau các công cụ rút gọn URL mà không xác nhận trước điểm đến của chúng.

Đối với Đội ngũ An ninh Mạng

Các đội ngũ an ninh mạng cần theo dõi chặt chẽ các hoạt động bất thường để phát hiện tấn công mạng:

• Giám sát các tải DLL bất thường.
• Theo dõi việc tạo tác vụ PowerShell được mã hóa.
• Kiểm tra quá trình tiêm mã vào SearchUI.exe.
• Hệ thống phòng thủ điểm cuối (endpoint defenses) cần được cập nhật thường xuyên để gắn cờ các tiến trình Python chạy bất ngờ từ các thư mục ProgramData.