Các nhà nghiên cứu an ninh mạng tại Arctic Wolf Labs đã phát hiện ra một mối đe dọa mới tinh vi được gọi là mã độc Caminho, một dịch vụ Loader-as-a-Service (LaaS) của Brazil biến các hình ảnh thông thường thành Trojan để phân phối mã độc. Hoạt động từ tháng 3 năm 2025 và phát triển nhanh chóng đến tháng 6 cùng năm, chiến dịch này ẩn payload .NET bằng cách sử dụng kỹ thuật steganography Bit Ít Quan Trọng Nhất (LSB) bên trong các tệp được lưu trữ trên các trang web đáng tin cậy như archive.org.

Kỹ thuật này cho phép kẻ tấn công đưa các công cụ truy cập từ xa (RAT) và phần mềm đánh cắp thông tin (infostealers) vượt qua các biện pháp phòng thủ, nhắm mục tiêu vào các doanh nghiệp trên khắp Nam Mỹ, Châu Phi và Đông Âu.

Cơ chế Hoạt động của Mã độc Caminho

Cuộc tấn công mạng bắt đầu bằng các email spear-phishing chứa mồi nhử kỹ thuật xã hội, như hóa đơn giả mạo hoặc yêu cầu báo giá khẩn cấp. Những email này được ngụy trang dưới dạng kho lưu trữ RAR hoặc ZIP chứa các tệp JavaScript hoặc VBScript.

Vector Tấn Công Ban Đầu

• Email spear-phishing với nội dung đánh lừa người dùng.
• Tệp đính kèm giả mạo dưới dạng kho lưu trữ RAR hoặc ZIP.
• Bên trong chứa các script độc hại (JavaScript hoặc VBScript).

Quy Trình Lây Nhiễm và Tải Payload

Khi người dùng mở các tệp đính kèm độc hại, các script này sẽ lấy mã PowerShell bị xáo trộn từ các dịch vụ pastebin như paste.ee. Mã PowerShell này sau đó sẽ tải xuống các hình ảnh trông có vẻ vô hại từ các kho lưu trữ hợp pháp, điển hình là archive.org.

Ẩn trong các tệp JPG hoặc PNG này là một loader .NET có tên Caminho – tiếng Bồ Đào Nha có nghĩa là “con đường”. Loader này được trích xuất thông qua kỹ thuật steganography LSB.

Thực Thi Không Ghi Đĩa và Trốn Tránh Phát Hiện

Script PowerShell quét một chữ ký byte duy nhất trong hình ảnh để cô lập payload nhúng và tải nó trực tiếp vào bộ nhớ. Phương pháp thực thi không ghi đĩa này giúp mã độc Caminho né tránh các phần mềm chống virus truyền thống.

Từ đó, loader sẽ tiêm phần mềm độc hại cuối cùng vào các tiến trình hợp pháp như calc.exe (máy tính Windows). Đồng thời, nó thiết lập cơ chế duy trì quyền truy cập (persistence) thông qua các tác vụ đã lên lịch, chạy lại chuỗi tấn công mỗi phút.

Kỹ thuật Steganography và Trốn Tránh Phát Hiện

Kỹ thuật steganography LSB điều chỉnh các bit ít quan trọng nhất của màu pixel để mã hóa dữ liệu độc hại mà không làm thay đổi vẻ ngoài của hình ảnh. Điều này khiến việc phát hiện các payload bị ẩn trở nên cực kỳ khó khăn bằng mắt thường hoặc các công cụ quét thông thường.

Cách tiếp cận không ghi tệp, kết hợp với các thủ thuật chống phân tích như phát hiện máy ảo (VM detection) và kiểm tra trình gỡ lỗi (debugger checks), khiến mã độc Caminho nổi tiếng là khó bị phát hiện. Các nhà nghiên cứu đã phân tích 71 mẫu, tất cả đều có đặc điểm xáo trộn mạnh mẽ nhưng nhất quán các chuỗi tiếng Bồ Đào Nha và không gian tên (namespace) HackForums độc đáo, cho thấy một thiết kế module được xây dựng để tái sử dụng.

Mô Hình Loader-as-a-Service (LaaS)

Điểm khác biệt của Caminho nằm ở mô hình kinh doanh của nó: một dịch vụ mà các nhà điều hành thuê loader để phân phối phần mềm độc hại tùy chỉnh. Dịch vụ này chấp nhận bất kỳ URL nào làm đối số, mang lại sự linh hoạt cao cho những kẻ tấn công.

Các hình ảnh steganographic giống nhau xuất hiện trong nhiều chiến dịch với các mục tiêu cuối cùng khác nhau. Điều này xác nhận cấu trúc dịch vụ cho thuê và giải thích sự đa dạng của các payload được phân phối bởi mã độc Caminho.

Các Payload Chính và Cơ sở Hạ tầng

Các payload đã được quan sát bao gồm REMCOS RAT đa năng dùng để điều khiển từ xa, được phân phối qua các máy chủ “bulletproof hosting”. Ngoài ra, còn có XWorm từ các tên miền mờ ám và Katz Stealer, một phần mềm đánh cắp thông tin đăng nhập được Nextron Systems ghi nhận lần đầu vào tháng 5 năm 2025.

Cơ sở hạ tầng của chiến dịch trộn lẫn các nền tảng hợp pháp để dàn dựng – archive.org cho hình ảnh, các trang pastebin cho script – với các máy chủ C2 (Command and Control) kiên cường trên các nhà cung cấp như Railnet LLC, vốn nổi tiếng trong việc né tránh các nỗ lực gỡ bỏ.

Ghi Nhận và Phân Tích

Thông tin tình báo với độ tin cậy cao liên kết mã độc Caminho với Brazil. Điều này được chứng minh nhờ mã nguồn tiếng Bồ Đào Nha phổ biến trong các biến, thông báo lỗi và bình luận. Thêm vào đó, việc nhắm mục tiêu bắt đầu ở Nam Mỹ và tăng đột biến trong giờ làm việc địa phương cũng củng cố nhận định này.

Nạn nhân trải rộng trên nhiều ngành công nghiệp ở Brazil, Nam Phi, Ukraine và Ba Lan. Phạm vi địa lý của các cuộc tấn công đã tăng tốc sau tháng 6, khi kỹ thuật steganography của chiến dịch này trở nên hoàn thiện hơn.

Đây là hoạt động tội phạm mạng với động cơ tài chính, không có dấu hiệu của các nhóm tấn công do quốc gia bảo trợ. Các tác nhân lạm dụng các trang web đáng tin cậy để thách thức các biện pháp chặn truyền thống mà không làm gián đoạn lưu lượng truy cập hợp pháp. Tìm hiểu thêm chi tiết kỹ thuật về Caminho Loader tại Arctic Wolf Labs.

Khuyến Nghị Phòng Chống và Phát Hiện Xâm Nhập

Khi các mối đe dọa như mã độc Caminho ngày càng phát triển, các chuyên gia khuyến nghị áp dụng các lớp phòng thủ đa tầng. Điều này bao gồm việc sử dụng sandbox cho các tệp đính kèm email, kích hoạt ghi nhật ký PowerShell chi tiết, và triển khai các giải pháp Phát hiện và Phản hồi Điểm cuối (EDR) được hỗ trợ bởi AI để bắt kịp các dấu hiệu hành vi đáng ngờ.

Caminho cho thấy rằng kỹ thuật steganography không còn là một phương pháp tấn công ngách mà đã trở thành một công cụ phổ biến để tránh sự chú ý trong cuộc chạy đua chống lại các biện pháp phát hiện. Với chiến dịch vẫn đang hoạt động cho đến tháng 10 năm 2025, các tổ chức phải luôn cảnh giác trước những con đường lây nhiễm ẩn này.