Một mối đe dọa mạng mới có tên EtherHiding đang định hình lại cách thức phân phối mã độc trên internet. Không giống các phương pháp cũ thường dựa vào máy chủ truyền thống để gửi mã độc hại, cuộc tấn công này sử dụng các hợp đồng thông minh (smart contract) trên blockchain để lưu trữ và cập nhật payload mã độc. Cách tiếp cận này khiến các đội ngũ an ninh mạng gặp khó khăn hơn trong việc theo dõi và ngăn chặn kẻ tấn công, bởi vì các payload có thể bị thay đổi mà không cần sửa đổi các trang web nơi cuộc tấn công bắt đầu.

Cơ Chế Hoạt Động Độc Đáo Của EtherHiding

Cuộc tấn công bắt đầu khi kẻ xâm nhập tiêm mã độc vào một trang web hợp pháp. Đoạn mã được tiêm vào này hiển thị một trang CAPTCHA giả mạo trông giống như một bước kiểm tra bảo mật thực sự, yêu cầu khách truy cập chứng minh họ không phải là robot. Tuy nhiên, thay vì chỉ nhấp vào một hộp kiểm đơn giản, nạn nhân bị lừa sao chép và dán mã vào cửa sổ terminal hoặc dấu nhắc lệnh của họ.

Kỹ Thuật Lừa Đảo CAPTCHA Giả Mạo

Khi nạn nhân tuân theo các hướng dẫn này, mã độc sẽ âm thầm cài đặt vào máy tính của họ. Kỹ thuật này lợi dụng niềm tin của người dùng và chuyển công việc thực thi mã cho nạn nhân, giúp mã độc tránh bị phát hiện bởi các công cụ bảo mật giám sát việc thực thi mã độc tự động. Đây là một điểm yếu đáng kể trong quy trình bảo vệ thông tin truyền thống, làm tăng rủi ro an toàn thông tin cho người dùng cuối.

Khám Phá Hạ Tầng Phân Phối Mã Độc Phi Tập Trung

Các nhà phân tích bảo mật từ Censys đã xác định mẫu tấn công này trong quá trình giám sát các trang web lưu trữ các bẫy CAPTCHA giả mạo trên nhiều tên miền. Trong quá trình điều tra, các nhà nghiên cứu đã phát hiện một chuỗi tấn công EtherHiding kết hợp lưu trữ trên blockchain, lựa chọn mã độc theo nền tảng cụ thể và kỹ thuật kỹ thuật xã hội (social engineering) thành một quy trình tấn công hoàn chỉnh.

Những phát hiện này cho thấy cách tiếp cận mới tạo ra một hệ thống phân phối linh hoạt và khó theo dõi hơn so với các phương pháp cũ sử dụng địa chỉ máy chủ cố định. Điều này tạo ra một thách thức lớn trong công tác phòng thủ và phát hiện mối đe dọa mạng.

Bạn có thể tham khảo thêm chi tiết về nghiên cứu này tại: Censys Blog – EtherHiding Analysis.

Các Biến Thể Mã Độc Được Phân Phối

Các payload mã độc được phân phối qua các chiến dịch EtherHiding thường bao gồm các loại phần mềm đánh cắp thông tin (commodity stealers) như Amos Stealer và Vidar. Các phần mềm này được thiết kế để thu thập thông tin đăng nhập và dữ liệu nhạy cảm từ các máy tính bị nhiễm. Bằng cách kết hợp hạ tầng dàn dựng phi tập trung, các lớp phủ bảo mật giả mạo và thực thi thủ công bởi người dùng, kẻ tấn công loại bỏ nhiều mẫu hành vi có thể dự đoán mà các hệ thống phòng thủ thường dựa vào để xác định các mối đe dọa mạng.

Chi Tiết Kỹ Thuật Về Quy Trình Tấn Công Mạng

Cách EtherHiding phân phối mã độc cho thấy công nghệ phi tập trung đang thay đổi hạ tầng tấn công như thế nào. Khi một nạn nhân truy cập một trang web bị xâm nhập, trình duyệt của họ tự động tải một đoạn mã JavaScript được mã hóa Base64 ẩn trong HTML. Đoạn mã này sau đó được giải mã thành mã obfuscated (che giấu) và liên hệ với các hợp đồng thông minh trên mạng thử nghiệm (testnet) của Binance Smart Chain bằng cách sử dụng một hàm có tên load_().

Các hợp đồng thông minh này sẽ trả về dữ liệu được mã hóa hex, sau đó trình duyệt giải mã thành JavaScript có thể thực thi. JavaScript này sẽ xác định hệ điều hành của nạn nhân và tìm nạp phiên bản mã độc phù hợp. Quá trình này giúp kẻ tấn công tùy chỉnh payload cho từng mục tiêu, tăng hiệu quả của cuộc tấn công mạng.

Các Smart Contract Liên Quan

Cuộc tấn công sử dụng hai hợp đồng thông minh riêng biệt để tìm nạp payload dành riêng cho hệ điều hành Windows hoặc macOS. Đối với hệ thống Windows, mã sẽ kết nối với hợp đồng 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff, trong khi các nạn nhân sử dụng macOS sẽ được chuyển hướng đến 0x68DcE15C1002a2689E19D33A3aE509DD1fEb11A.

Cơ Chế Kiểm Soát và Kích Hoạt Payload

Trước khi phân phối payload cuối cùng, cuộc tấn công đi qua một hợp đồng kiểm soát (control contract) tại địa chỉ 0xf4a32588b50a59a82fbA148d436081A48d80832A. Hợp đồng này có nhiệm vụ xác thực từng nạn nhân bằng cách sử dụng một mã định danh duy nhất được lưu trữ trong một cookie cố định. Cơ chế kiểm soát này cho phép kẻ tấn công chọn lọc bật hoặc tắt việc phân phối mã độc cho các nạn nhân cụ thể chỉ bằng cách thay đổi dữ liệu blockchain, mà không cần chạm vào trang web đã bị xâm nhập.

Thực Thi Payload Thủ Công và Vấn Đề Phát Hiện

Một khi được hợp đồng kiểm soát cho phép, nạn nhân sẽ thấy một CAPTCHA giả mạo dành riêng cho nền tảng của họ, kèm theo các hướng dẫn phù hợp với hệ điều hành. JavaScript tự động sao chép các lệnh độc hại vào clipboard và nạn nhân được hướng dẫn dán các lệnh này vào Terminal trên macOS hoặc hộp thoại Run trên Windows. Bước thực thi thủ công này tạo ra một khoảng trống phát hiện đáng kể vì không có hành vi mã độc tự động nào xảy ra — chính nạn nhân là người kích hoạt quá trình cài đặt, làm cho việc phát hiện mã độc trở nên phức tạp hơn.

Cơ Chế Duy Trì và Thu Thập Dữ Liệu Sau Khi Xâm Nhập

Trên macOS, payload sử dụng các lệnh AppleScript và curl để tải và thực thi một agent đầy đủ tính năng. Agent này tạo ra cơ chế duy trì (persistence) bằng cách sử dụng các tệp tin LaunchAgent plist. Nó cũng tìm nạp địa chỉ máy chủ chỉ huy và kiểm soát (C2) từ các hồ sơ Telegram hoặc Steam bằng cách trích xuất các phần tử HTML cụ thể. Kỹ thuật này giúp kẻ tấn công duy trì quyền truy cập và kiểm soát hệ thống của nạn nhân một cách ổn định.

Mã độc sau đó thu thập mật khẩu văn bản thuần (plaintext password) của người dùng bằng cách hiển thị một hộp thoại System Preferences giả mạo. Sau khi thu thập, nó đồng bộ hóa các thông tin đăng nhập bị đánh cắp với máy chủ của kẻ tấn công và sau đó chuyển sang một vòng lặp polling để nhận và thực thi các lệnh shell tùy ý cứ sau ba mươi giây. Điều này cho phép kẻ tấn công thực hiện các hành động tiếp theo trên hệ thống bị nhiễm, từ đó có thể dẫn đến việc rò rỉ dữ liệu nhạy cảm hoặc các cuộc tấn công mạng tiếp theo.

Dấu Hiệu Nhận Biết và Biện Pháp Phòng Ngừa Để Đảm Bảo An Ninh Mạng

Sự kết hợp giữa hợp đồng thông minh blockchain, kỹ thuật xã hội CAPTCHA giả mạo và thực thi mã cục bộ thể hiện một sự thay đổi đáng kể trong chiến thuật của kẻ tấn công. Bằng cách chuyển việc lưu trữ payload lên hạ tầng phi tập trung và loại bỏ nhu cầu thực thi tự động, EtherHiding tạo ra một mô hình tấn công mạng linh hoạt, khó dự đoán và chống lại nhiều phương pháp phát hiện bảo mật truyền thống.

Các tổ chức nên giám sát các trang web hiển thị các lớp phủ CAPTCHA giả mạo và duy trì cảnh giác cao độ đối với hoạt động clipboard liên quan đến các lệnh terminal. Những dấu hiệu cảnh báo này có thể giúp phát hiện mối đe dọa mạng mới nổi này trước khi quá trình cài đặt hoàn tất, góp phần củng cố an ninh mạng.

Các Chỉ Số Thỏa Hiệp (IOCs)

Các địa chỉ smart contract được xác định có liên quan đến chiến dịch EtherHiding bao gồm:

• Hợp đồng cho payload Windows: 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff
• Hợp đồng cho payload macOS: 0x68DcE15C1002a2689E19D33A3aE509DD1fEb11A
• Hợp đồng kiểm soát (Control Contract): 0xf4a32588b50a59a82fbA148d436081A48d80832A