Các ứng dụng đo tốc độ internet giả mạo đang trở thành một mối đe dọa mạng đáng kể. Chúng nhắm mục tiêu vào người dùng muốn kiểm tra hiệu suất kết nối, nhưng lại chứa các payload ẩn gây tổn hại đến tính toàn vẹn và quyền riêng tư của hệ thống.

Tương tự như các phần mềm Fake Manual Reader và Finder đã được phân tích trước đây, những kẻ mạo danh này sử dụng các kỹ thuật đóng gói (packers), JavaScript bị che giấu (obfuscated JavaScript) và cơ chế duy trì quyền truy cập (persistence mechanisms) để thực thi mã tùy ý và đánh cắp dữ liệu nhạy cảm.

Vào ngày 21 tháng 9 năm 2025, một làn sóng ứng dụng độc hại mới ngụy trang thành công cụ kiểm tra tốc độ hợp pháp đã được phát hiện và cảnh báo. Thông tin chi tiết có thể tham khảo từ nguồn gốc tại đây.

Quy Trình Lây Nhiễm và Khởi Chạy Mã Độc

Quá trình lây nhiễm bắt đầu khi người dùng tải xuống một tiện ích đo tốc độ có vẻ ngoài tiêu chuẩn cho máy tính để bàn hoặc trên nền tảng web. Ngay sau khi cài đặt, tệp thực thi sẽ tự giải nén bằng cách sử dụng Inno Setup Packer.

Sau đó, nó triển khai môi trường Node.js cùng với một tệp JavaScript đã bị che giấu.

Cơ Chế Duy Trì Quyền Truy Cập

Phân tích tác vụ được lên lịch (scheduled task), được đăng ký dưới một tên có vẻ vô hại thông qua định nghĩa task.xml, cho thấy trình khởi chạy gọi Node.js để thực thi một tệp có tên temp.js.

Tập lệnh này sử dụng một chuỗi giải mã đa tầng để tái tạo payload thực sự của nó.

Bằng cách vá chức năng giải mã, các nhà nghiên cứu bảo mật đã có thể in các chuỗi đã giải mã trước khi thực thi, xác nhận rằng mã độc này thu thập các định danh hệ thống và gửi chúng đến máy chủ command-and-control (C2) từ xa.

Quy Trình Đánh Cắp Dữ Liệu

Khi payload JavaScript được thực thi, nó truy vấn Windows registry để lấy MachineGuid tại đường dẫn HKLMSoftwareMicrosoftCryptography và xây dựng một đối tượng JSON.

Các trường được mã hóa cứng của tập lệnh bao gồm siêu dữ liệu phiên bản ("ver":0.2.1), định danh ứng dụng và các giá trị registry.

Các tham số này được tuần tự hóa thông qua JSON.stringify và truyền đi qua giao thức HTTPS POST đến cloud.appusagestats[.]com.

Bằng cách chuyển hướng tên miền này đến một trình nghe cục bộ với chứng chỉ TLS được tạo, các nhà phân tích đã thu thập được nội dung POST body chính xác.

Các trường siêu dữ liệu đi kèm như MachineGuid và định danh tiến trình cũng được nhúng, cho phép xác định duy nhất các máy chủ bị xâm nhập. Sau khi dữ liệu được đánh cắp, tập lệnh sẽ chờ lệnh từ máy chủ C2.

Phân Tích Dữ Liệu POST

Khi xem xét chính mã độc, có một số cách để trích xuất các chuỗi: Đối với dữ liệu POST, có một hàm JSON.stringify theo sau phần URL như sau:

// Đoạn mã minh họa cho JSON.stringify và URL POST
// Mặc dù không có mã khai thác trực tiếp, đây là cách phân tích viên thấy quá trình
// Ví dụ về cấu trúc JSON được gửi đi:
{
  "ver": 0.2.1,
  "app_id": "some_app_id",
  "machine_guid": "HKLM\Software\Microsoft\Cryptography\MachineGuid",
  "process_id": "current_process_id"
}
// POST tới cloud.appusagestats[.]com

Cơ Chế Command and Control (C2) và Thực Thi Lệnh

Phản hồi từ máy chủ C2 đến dưới dạng application/octet-stream chứa một payload JSON đã được mã hóa XOR.

Quá trình giải mã yêu cầu lấy 16 byte đầu tiên của phản hồi làm khóa XOR (được biểu thị bằng hệ thập lục phân), sau đó áp dụng khóa đó cho phần còn lại của payload.

JSON đã giải mã thường mang một mảng "pl" chứa các lệnh được phát hành từ máy chủ. Trong phân tích trực tiếp, mảng này trống, nhưng framework cho phép thực hiện bất kỳ lệnh tùy ý nào.

Khi nhận được lệnh, mã độc sử dụng child_process.exec của Node.js để tạo các lệnh hệ thống. Điều này cho phép kẻ tấn công thực thi hầu hết mọi hành động trên hệ thống bị nhiễm.

Khả Năng Khai Thác Tiềm Tàng

Một phản hồi chứng minh khái niệm (proof-of-concept) đã kích hoạt một lệnh PowerShell giả mạo hiển thị hộp thông báo Windows Forms.

Điều này cho thấy tiềm năng thực thi bất kỳ mã tùy ý nào, bao gồm đánh cắp thông tin đăng nhập (credential dumping), triển khai mã độc tống tiền (ransomware deployment), hoặc các công cụ di chuyển ngang (lateral movement tools).

Chiến Lược Phát Hiện Xâm Nhập và Phòng Ngừa

Việc phát hiện các ứng dụng đo tốc độ giả mạo này đặt ra nhiều thách thức do tính năng che giấu (obfuscation) và giao diện người dùng có vẻ hợp pháp.

Các Dấu Hiệu Nhận Biết Xâm Nhập (IOCs)

Các dấu hiệu nhận biết mã độc (Indicators of Compromise – IOCs) bao gồm:

• Phát hiện các tác vụ được lên lịch (scheduled tasks) đáng ngờ, đặc biệt là những tác vụ gọi Node.js để thực thi các tệp JavaScript lạ.
• Lưu lượng mạng HTTPS POST đến cloud.appusagestats[.]com.
• Sự hiện diện của tệp JavaScript bị che giấu (ví dụ: temp.js) trong các thư mục hệ thống không mong muốn.
• Tệp thực thi được đóng gói bằng Inno Setup Packer không có nguồn gốc rõ ràng.
• Hoạt động đáng ngờ từ các tiến trình Node.js hoặc PowerShell tạo ra các tiến trình con không mong muốn hoặc thực thi các lệnh được mã hóa.

Biện Pháp Phòng Ngừa và Giảm Thiểu

Các quản trị viên hệ thống nên kiểm tra các tác vụ đã lên lịch và tổng kiểm tra tệp thực thi (checksums) so với các baseline đã biết là an toàn.

Các giải pháp phát hiện và phản hồi điểm cuối (EDR) có thể gắn cờ việc tạo động các tiến trình con được gọi thông qua Node.js hoặc PowerShell với các payload được mã hóa.

Việc chặn thực thi các tệp .js trong các ngữ cảnh không mong muốn và thực thi nghiêm ngặt danh sách ứng dụng cho phép (application whitelisting) sẽ giảm thiểu bề mặt tấn công.

Để tăng cường an ninh mạng, tổ chức nên tham khảo các hướng dẫn bảo mật từ các nguồn đáng tin cậy như CISA: CISA Cybersecurity Best Practices.

Kết Luận Về Mối Đe Dọa Mạng Đang Phát Triển

Sự trở lại của các mã độc dựa trên JavaScript giả mạo và bị che giấu, dưới chiêu bài của các công cụ đo tốc độ vô hại, nhấn mạnh bối cảnh mối đe dọa mạng đang ngày càng phát triển.

Kẻ tấn công tái chế các mẫu lây nhiễm đã được chứng minh – sử dụng packers, kịch bản bị che giấu, duy trì quyền truy cập theo lịch trình và liên lạc C2 – trong khi nhắm mục tiêu vào một danh mục tiện ích hàng ngày mới.

Sự cảnh giác trong việc lựa chọn nguồn ứng dụng, kết hợp với các chính sách phát hiện mạnh mẽ, vẫn là cách phòng thủ tốt nhất chống lại những mối đe dọa mạng lừa đảo này.

Đảm bảo rằng người dùng chỉ tải xuống phần mềm kiểm tra tốc độ đã được xác minh và giám sát các tác vụ được lên lịch bất thường cùng lưu lượng mạng, sẽ giúp các tổ chức đi trước chiến dịch mã độc xảo quyệt này.