Tấn công mạng nghiêm trọng: Mã độc ẩn trong Proxifier giả

Một chiến dịch tấn công mạng nguy hiểm đã âm thầm nhắm vào người dùng tiền điện tử bằng cách ẩn náu bên trong một phiên bản giả mạo của Proxifier, một công cụ proxy phổ biến.

Các tác nhân đe dọa đã thiết lập một kho lưu trữ GitHub được thiết kế để trông giống như một trang tải xuống Proxifier hợp pháp. Tuy nhiên, trình cài đặt đi kèm thực chất là một Trojan giám sát và chiếm quyền clipboard để đánh cắp dữ liệu ví tiền điện tử.

Phân tích Kênh Lây nhiễm

Cuộc tấn công mạng bắt đầu khi người dùng tìm kiếm “Proxifier” trên các công cụ tìm kiếm phổ biến. Một trong những kết quả hàng đầu sẽ trỏ trực tiếp đến kho lưu trữ GitHub độc hại.

Kho lưu trữ GitHub giả mạo

Trang dự án được thiết kế trông rất đáng tin cậy, thậm chí còn hiển thị mã nguồn cho một dịch vụ proxy cơ bản. Trong mục “Releases”, người dùng sẽ tìm thấy một tệp lưu trữ có thể tải xuống chứa một tệp thực thi và một tài liệu văn bản với các khóa kích hoạt phần mềm, làm cho toàn bộ gói tin có vẻ hợp pháp.

Trình cài đặt Trojan hóa

Người dùng không hề biết rằng tệp thực thi này là một trình bao bọc độc hại (malicious wrapper) được xây dựng xung quanh trình cài đặt Proxifier chính hãng. Chiến dịch này được các nhà nghiên cứu của Securelist xác định vào đầu năm 2026, và đã hoạt động từ đầu năm 2025.

Hơn 2,000 người dùng các giải pháp bảo mật của Kaspersky đã gặp phải mối đe dọa này, với phần lớn nạn nhân ở Ấn Độ và Việt Nam.

Phân tích Kỹ thuật Chuỗi tấn công mạng

Các nhà nghiên cứu mô tả chuỗi lây nhiễm này là một chuỗi dài bất thường, với nhiều giai đoạn được phân lớp phức tạp nhằm mục đích giữ cho mã độc ẩn mình trong suốt quá trình. Đây là một phương pháp tinh vi để thực hiện tấn công mạng.

Giai đoạn 1: Thực thi ban đầu và Vô hiệu hóa Security

Ngay sau khi người dùng chạy trình cài đặt trojan, mã độc bắt đầu hoạt động. Nó tạo ra một tệp stub nhỏ (khoảng 1.5 KB) trong thư mục tạm của hệ thống, với tên tệp bắt chước một tiến trình Proxifier hợp pháp.

Một ứng dụng .NET có tên api_updater.exe sau đó được tiêm (inject) vào tệp stub này. Mục đích là để âm thầm thêm các loại trừ (exclusions) cho Microsoft Defender đối với các tệp .TMP và thư mục hiện tại. Bước này đảm bảo các giai đoạn sau của chuỗi lây nhiễm có thể chạy mà không kích hoạt cảnh báo bảo mật.

Giai đoạn 2: Leo thang bằng PowerShell và Persistence

Trong khi trình cài đặt Proxifier thật mở ra ở foreground để đánh lạc hướng nạn nhân, Trojan tiếp tục hoạt động âm thầm trong background. Nó tiêm một module khác, proxifierupdater.exe, và module này lại đẩy mã độc vào conhost.exe, một tiện ích hệ thống đáng tin cậy của Windows.

Thông qua quy trình này, một kịch bản PowerShell đã được làm rối (obfuscated) sẽ thực thi trực tiếp trong bộ nhớ. Cách tiếp cận fileless này khiến cho mã độc trở nên cực kỳ khó bị phát hiện và gỡ bỏ kịp thời.

Kịch bản PowerShell này đảm nhiệm một số tác vụ chính:

• Thêm các tiến trình PowerShell và conhost vào danh sách loại trừ của Defender.
• Lưu trữ một kịch bản đã mã hóa bên trong khóa registry tại HKLM\SOFTWARE\System::Config.
• Đăng ký một tác vụ theo lịch (scheduled task) có tên “Maintenance Settings Control Panel” để kích hoạt mỗi khi người dùng đăng nhập, đảm bảo sự tồn tại dai dẳng (persistence) trên hệ thống bị xâm nhập.

Giai đoạn 3: Tải Payload cuối cùng

Tác vụ theo lịch sẽ đọc kịch bản được lưu trong registry, giải mã nó và lấy payload tiếp theo từ các dịch vụ tương tự Pastebin. Sau một lần tải xuống cuối cùng từ GitHub, shellcode sẽ được tiêm vào tiến trình fontdrvhost.exe.

Tại thời điểm này, mã độc ClipBanker bắt đầu âm thầm theo dõi clipboard để tìm bất kỳ địa chỉ ví tiền điện tử nào để thay thế.

Chức năng của Mã độc ClipBanker

ClipBanker là một Trojan chuyên chiếm quyền clipboard, được xây dựng đặc biệt để tấn công người dùng tiền điện tử. Bất cứ khi nào nạn nhân sao chép một địa chỉ ví, mã độc sẽ âm thầm thay thế nó bằng một địa chỉ thuộc sở hữu của những kẻ tấn công.

Mối đe dọa này bao phủ hơn 26 mạng blockchain, bao gồm Bitcoin, Ethereum, Solana, Monero, Dogecoin, TRON, Ripple, Litecoin và nhiều mạng khác. Điều này mang lại cho những kẻ thực hiện cuộc tấn công mạng phạm vi tiếp cận rất rộng trên các hệ sinh thái tiền điện tử khác nhau.

Khuyến nghị Giảm thiểu Rủi ro

Để giữ an toàn trước các cuộc tấn công mạng tương tự, người dùng chỉ nên tải xuống phần mềm từ các nguồn chính thức và đã được xác minh. Việc chạy một giải pháp bảo mật đáng tin cậy và được cập nhật là rất quan trọng, vì nó có thể ngăn chặn lây nhiễm trước khi gây ra thiệt hại thực sự.

Nếu không sử dụng các công cụ bảo mật trả phí, mọi nguồn tải xuống phải được xác minh cẩn thận trước khi khởi chạy bất kỳ tệp nào. Việc này giúp giảm thiểu nguy cơ của một cuộc tấn công mạng thành công.