Nguy hiểm: Đánh cắp dữ liệu qua Malwarebytes giả mạo
Một chiến dịch malware mới đã được ghi nhận, sử dụng phần mềm Malwarebytes giả mạo để thực hiện đánh cắp dữ liệu thông tin đăng nhập và ví tiền điện tử của người dùng. Hoạt động độc hại này đã được các nhà nghiên cứu bảo mật phát hiện đang lây lan tích cực từ ngày 11 đến 15 tháng 01 năm 2026, sử dụng các tệp ZIP được chế tạo đặc biệt nhằm giả mạo các trình cài đặt Malwarebytes hợp pháp.
Phân Tích Chiến Dịch Tấn Công Giả Mạo Phần Mềm Bảo Mật
Các tệp giả mạo được đặt tên theo định dạng malwarebytes-windows-github-io-X.X.X.zip, tạo ấn tượng về tính xác thực đối với những người dùng không cảnh giác. Họ tin rằng mình đang tải xuống phần mềm chống virus chính hãng. Tuy nhiên, mục tiêu chính của chiến dịch này là triển khai một loại mã độc chuyên đánh cắp thông tin, thu thập dữ liệu nhạy cảm từ người dùng, gây ra một mối đe dọa mạng đáng kể.
Mục Tiêu và Phương Pháp Tiếp Cận Ban Đầu
Các kho lưu trữ ZIP độc hại này chứa một sự kết hợp nguy hiểm của các tệp được thiết kế để vượt qua các cơ chế phòng thủ bảo mật và thiết lập sự duy trì trên các hệ thống bị nhiễm. Khi người dùng giải nén và chạy tệp có vẻ là tệp thực thi Malwarebytes hợp pháp, họ không hề hay biết đã kích hoạt một chuỗi các sự kiện độc hại.
Chuỗi sự kiện này cuối cùng sẽ làm tổn hại đến an ninh kỹ thuật số và thông tin cá nhân của họ. Sự tinh vi trong cách thức lây nhiễm cho thấy một kế hoạch tấn công mạng có chủ đích, nhằm mục tiêu chính là đánh cắp dữ liệu cá nhân và tài sản.
Quy Trình Lây Nhiễm và Phát Hiện
Các nhà phân tích của VirusTotal đã xác định được mã độc này sau khi kiểm tra các mẫu lây nhiễm và cấu trúc tệp. Họ ghi nhận rằng tất cả các kho lưu trữ ZIP đáng ngờ đều chia sẻ một chỉ định nhất quán, được gọi là giá trị behash của “4acaac53c8340a8c236c91e68244e6cb”. Chỉ dấu kỹ thuật này trở thành yếu tố then chốt trong việc theo dõi phạm vi của chiến dịch và xác định các biến thể bổ sung được sử dụng trong hoạt động.
Các nhà nghiên cứu đã ghi lại cách mã độc hoạt động thông qua một kỹ thuật phân lớp phức tạp, làm cho việc phát hiện và phân tích trở nên khó khăn hơn. Điều này càng làm nổi bật tính chất nghiêm trọng của mối đe dọa mạng đang diễn ra, đặc biệt khi mục tiêu là đánh cắp dữ liệu nhạy cảm.
Kỹ Thuật Khai Thác DLL Sideloading
Cuộc tấn công dựa vào một kỹ thuật lừa đảo được gọi là DLL sideloading, khai thác cách thức Windows tải các thư viện phần mềm hợp pháp. Tải trọng độc hại được ẩn bên trong một tệp có tên CoreMessaging.dll.
Khi tệp thực thi Malwarebytes hợp pháp chạy, hệ điều hành sẽ tải tệp DLL độc hại này thay vì tệp thư viện gốc. Đây là một phương pháp hiệu quả để thực hiện đánh cắp dữ liệu mà không gây nghi ngờ.
Cơ Chế Hoạt Động Chi Tiết
Kẻ tấn công đặt cả tệp DLL giả mạo và tệp EXE hợp pháp trong cùng một thư mục. Thao tác này đánh lừa Windows thực thi mã độc mà không gây ra bất kỳ cảnh báo nào. Kỹ thuật này tận dụng cơ chế tìm kiếm DLL của hệ điều hành, trong đó Windows thường ưu tiên tải các DLL nằm cùng thư mục với tệp thực thi trước khi tìm kiếm ở các vị trí mặc định khác.
Bằng cách này, kẻ tấn công có thể tiêm mã độc vào một quy trình hợp pháp, khiến nó khó bị phát hiện bởi các giải pháp bảo mật truyền thống. Việc này cho phép mã độc có đủ quyền hạn để thực hiện đánh cắp dữ liệu mà không bị cản trở.
Dấu Hiệu Nhận Diện Kỹ Thuật của DLL Độc Hại
Các tệp DLL độc hại có các siêu dữ liệu đặc trưng, bao gồm các chuỗi chữ ký như “© 2026 Eosinophil LLC” và các hàm xuất bất thường. Các hàm này thường chứa các chuỗi chữ và số ngẫu nhiên, ví dụ như “15Mmm95ml1RbfjH1VUyelYFCf” và “2dlSKEtPzvo1mHDN4FYgv.”.
Những đặc điểm này rất quan trọng, cho phép các nhà nghiên cứu bảo mật tìm kiếm các mẫu liên quan và theo dõi chiến dịch rộng lớn hơn. Việc phân tích các dấu hiệu này giúp củng cố khả năng phát hiện tấn công và hiểu rõ hơn về các chiến thuật của kẻ thù trong nỗ lực đánh cắp dữ liệu.
Tác Động và Hậu Quả của Mã độc Đánh cắp Thông tin
Một khi tệp DLL độc hại được thực thi, nó sẽ thả các trình đánh cắp thông tin (infostealers) giai đoạn hai. Các infostealer này được thiết kế đặc biệt để nhắm mục tiêu vào thông tin ví tiền điện tử và thông tin đăng nhập trình duyệt đã lưu trữ, cho phép kẻ tấn công thực hiện hành vi đánh cắp dữ liệu và chiếm đoạt tài sản kỹ thuật số.
Việc chiếm đoạt thông tin đăng nhập trình duyệt có thể dẫn đến việc truy cập trái phép vào hàng loạt tài khoản trực tuyến của nạn nhân, từ email, mạng xã hội đến các dịch vụ ngân hàng trực tuyến. Điều này không chỉ gây ra thiệt hại tài chính mà còn dẫn đến việc rò rỉ dữ liệu nhạy cảm và các vấn đề về danh tính số. Mục tiêu cuối cùng luôn là đánh cắp dữ liệu có giá trị nhất.
Các nạn nhân có nguy cơ mất toàn bộ số tiền điện tử trong ví của họ, cũng như đối mặt với nguy cơ bị lạm dụng thông tin cá nhân cho các mục đích lừa đảo hoặc tấn công mạng tiếp theo. Mức độ thiệt hại do đánh cắp dữ liệu có thể rất lớn và khó phục hồi.
Chỉ Số Nhận Diện Sự Thỏa Hiệp (IOCs)
Để hỗ trợ các nhà quản trị hệ thống và chuyên gia bảo mật trong việc phát hiện và ứng phó, sau đây là các Chỉ số Nhận diện Sự Thỏa hiệp (IOCs) quan trọng liên quan đến chiến dịch này:
- Behash Value của các tệp ZIP độc hại:
4acaac53c8340a8c236c91e68244e6cb - Chuỗi chữ ký trong metadata của DLL độc hại:
© 2026 Eosinophil LLC - Tên tệp DLL độc hại:
CoreMessaging.dll - Định dạng tên tệp ZIP giả mạo:
malwarebytes-windows-github-io-X.X.X.zip
Tham khảo thêm phân tích chi tiết từ VirusTotal tại: VirusTotal Blog.
Việc theo dõi và chặn các IOCs này là một bước thiết yếu để bảo vệ hệ thống khỏi tấn công mạng tương tự và giảm thiểu rủi ro đánh cắp dữ liệu.
