Một chiến dịch phát tán mã độc mới đã được phát hiện, lợi dụng sự hấp dẫn của tiền điện tử để phân phối DarkComet RAT. Loại Trojan truy cập từ xa (RAT) khét tiếng này vẫn tiếp tục gây hại cho người dùng, dù đã bị ngừng phát triển bởi chính tác giả của nó nhiều năm trước.

Các nhà nghiên cứu bảo mật đã xác định một tệp thực thi đáng ngờ ngụy trang thành ứng dụng ví Bitcoin. Khi thực thi, nó âm thầm triển khai toàn bộ khả năng gián điệp và kiểm soát của DarkComet.

Chiến dịch Tấn công Mạng lợi dụng cơn sốt tiền điện tử

Mồi nhử Ví Bitcoin Giả Mạo

Sự bùng nổ của tiền điện tử đã tạo ra môi trường thuận lợi cho kẻ tấn công. Ví Bitcoin, phần mềm khai thác và công cụ giao dịch trở thành mục tiêu hàng đầu để lợi dụng, bởi chúng thu hút một lượng lớn người dùng sẵn sàng tải công cụ từ các nguồn không xác minh.

Chiến dịch này khai thác điểm yếu đó bằng cách đóng gói một biến thể DarkComet RAT vào một kho lưu trữ RAR có tên “94k BTC wallet.exe”. Tệp này được hoàn chỉnh với thương hiệu liên quan đến tiền điện tử giả mạo, nhằm đánh lừa người dùng.

Chuỗi Tấn công và Phương thức Lây nhiễm

Chuỗi tấn công bắt đầu bằng tệp RAR nén chứa tệp thực thi độc hại. Mã MD5 của tệp RAR này là dbedd5e7481b84fc5fa82d21aa20106f.

Cách tiếp cận phân phối nhiều lớp này phục vụ nhiều mục đích: nó vượt qua các bộ lọc email chặn tệp đính kèm thực thi trực tiếp, giảm tỷ lệ phát hiện của phần mềm diệt virus và khuyến khích nạn nhân tự giải nén tải trọng, phù hợp với các chiến thuật tấn công phi kỹ thuật (social engineering).

Sau khi giải nén, tệp thực thi lộ diện là một mã độc được đóng gói bằng UPX – một kỹ thuật nén làm che khuất cấu trúc và khả năng của tệp nhị phân.

Mẫu được đóng gói có dung lượng 318 KB và khi giải nén thành 725 KB mã không bị che giấu, đạt tỷ lệ nén 43.86%. Bằng cách áp dụng UPX packing, tác giả mã độc đạt được ba mục tiêu quan trọng:

• Né tránh phát hiện dựa trên chữ ký tĩnh.
• Che giấu các hàm API nhập và logic mã khỏi các công cụ đảo ngược kỹ thuật.
• Giảm kích thước tải trọng để phân phối hiệu quả hơn.

Phân tích bằng CFF Explorer cho thấy các dấu hiệu đặc trưng của nén UPX, với các phần UPX0 và UPX1 thay thế các phần PE tiêu chuẩn như .text và .data. Người dùng đam mê tiền điện tử phải hết sức thận trọng khi tải các công cụ ví hoặc tiện ích giao dịch, chỉ nên dựa vào các nguồn chính thức và xác minh chữ ký mã hóa trước khi thực thi.

Phân tích Kỹ thuật Mã độc DarkComet RAT

Cơ chế Hoạt động và Thiết lập Bền bỉ

Sau khi giải nén thành công bằng tiện ích UPX, bản chất thực sự của tệp nhị phân đã lộ diện: một DarkComet RAT hoạt động đầy đủ được biên dịch bằng Borland Delphi (2006). Đây là một ví dụ rõ ràng về việc các công cụ mã độc cũ vẫn còn được tái sử dụng.

Một khi được thực thi, mã độc thiết lập cơ chế tồn tại bền bỉ (persistence) bằng cách sao chép chính nó thành “explorer.exe” vào thư mục %AppData%RoamingMSDCSC. Đồng thời, nó tạo một khóa đăng ký tự khởi động tại HKCUSoftwareMicrosoftWindowsCurrentVersionRun.

Cơ chế này đảm bảo mã độc sống sót qua các lần khởi động lại hệ thống và duy trì quyền truy cập liên tục vào máy tính nạn nhân.

Cấu hình và Khả năng Điều khiển

Phân tích cấu hình tiết lộ cơ sở hạ tầng Command-and-Control (C2) được mã hóa cứng, trỏ đến kvejo991.ddns.net trên cổng 1604. Đây là kênh C2 mặc định cho DarkComet RAT. Mã độc sử dụng mutex “DC_MUTEX-ARULYYD” để đảm bảo chỉ có một phiên bản duy nhất chạy, ngăn ngừa xung đột trong quá trình thực thi.

Bộ tính năng của RAT bao gồm ghi lại thao tác bàn phím (keystroke logging), nơi các thông tin đăng nhập và dữ liệu nhạy cảm bị đánh cắp được lưu trữ trong thư mục “dclogs” trước khi được chuyển đến máy chủ C2.

Phân tích tiêm tiến trình (process injection) cho thấy mã độc sinh ra các tiến trình mồi (cmd.exe, conhost.exe, và notepad.exe) để ẩn tải trọng độc hại của nó bên trong các tiến trình Windows hợp pháp. Đây là một chiến thuật trốn tránh phổ biến được các biến thể DarkComet sử dụng.

Phát hiện này nhấn mạnh một thực tế quan trọng trong an ninh mạng: mã độc cũ không bao giờ thực sự biến mất. Một khi đã bị rò rỉ công khai, các họ mã độc như DarkComet sẽ được các nhóm tấn công khác nhau tái sử dụng vô thời hạn.

Các Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn chiến dịch tấn công mạng này:

• MD5 của tệp RAR chứa mã độc:dbedd5e7481b84fc5fa82d21aa20106f
• Tên tệp độc hại ngụy trang:94k BTC wallet.exe
• Đường dẫn persistence:%AppData%RoamingMSDCSCexplorer.exe
• Khóa Registry Autostart:HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• Tên Mutex:DC_MUTEX-ARULYYD
• Địa chỉ Command-and-Control (C2):kvejo991.ddns.net
• Cổng C2:1604
• Thư mục lưu log:dclogs

Khuyến nghị Bảo mật và Phòng chống

Để tăng cường an ninh mạng và bảo vệ hệ thống khỏi các cuộc tấn công tương tự, các tổ chức và người dùng cần áp dụng các biện pháp sau:

• Thực thi chính sách cho phép ứng dụng (application allowlisting) để chỉ cho phép các phần mềm đã được phê duyệt chạy trên hệ thống.
• Nâng cao nhận thức cho người dùng về các mối nguy hiểm khi tải xuống phần mềm không xác minh, đặc biệt là các công cụ liên quan đến tiền điện tử.
• Luôn tải phần mềm từ các nguồn chính thức và đáng tin cậy.
• Trước khi thực thi, hãy xác minh chữ ký số của các tệp tải về để đảm bảo tính toàn vẹn và nguồn gốc của chúng.
• Sử dụng các giải pháp bảo mật Endpoint Detection and Response (EDR) để phát hiện hành vi mã độc và các kỹ thuật trốn tránh như process injection.

Thông tin chi tiết về DarkComet RAT và các chiến dịch lợi dụng tiền điện tử có thể được tìm thấy tại các nguồn uy tín như PointWild Threat Intelligence.