Tin tức bảo mật mới nhất cho thấy một chiến dịch phát tán mã độc CoinMiner đang hoạt động mạnh mẽ. Kẻ tấn công lợi dụng ổ USB để lây nhiễm vào các máy trạm, chủ yếu nhằm mục đích khai thác tiền điện tử Monero. Phương thức tấn công dựa vào các tập tin shortcut lừa đảo và thư mục ẩn, khiến người dùng vô tình thực thi các script độc hại.

Tổng quan về Chiến dịch Phát tán Mã độc CoinMiner

Chiến dịch tấn công này là một mối đe dọa mạng dai dẳng, được thiết kế để cài đặt công cụ khai thác tiền điện tử XMRig. Kẻ tấn công sử dụng kết hợp các tập tin VBS, BAT và DLL để thực hiện chuỗi lây nhiễm phức tạp trên các hệ thống bị xâm nhập.

Cơ chế Lây nhiễm và Đánh lừa Người dùng

Mã độc ẩn mình trong một thư mục có tên sysvolume trên các ổ USB đã bị lây nhiễm. Người dùng chỉ nhìn thấy một tập tin shortcut được dán nhãn USB Drive.lnk. Khi nạn nhân nhấp đúp vào tập tin này, một chuỗi hoạt động độc hại sẽ được kích hoạt.

Đồng thời, một thư mục chứa các tập tin gốc của người dùng cũng được mở ra. Điều này cho phép người dùng truy cập dữ liệu bình thường, khiến việc phát hiện mã độc trở nên khó khăn. Các nhà nghiên cứu bảo mật của ASEC đã phân tích chủng mã độc này trong quá trình đánh giá các mối đe dọa dựa trên USB.

Sự phát triển của Mã độc

Kẻ tấn công đã tinh chỉnh kỹ thuật của mình kể từ các phiên bản trước đó. Mandiant đã phân loại các mối đe dọa tương tự là DIRTYBULK và CUTFAIL trong báo cáo tháng 7 năm 2025 của họ. Điều này cho thấy sự tiến hóa trong phương thức hoạt động của loại mã độc này.

Chi tiết Kỹ thuật về Mã độc CoinMiner

Chiến dịch này minh họa một cách rõ ràng các bước mà mã độc thực hiện để cài đặt và duy trì sự hiện diện trên hệ thống. Từ giai đoạn lây nhiễm ban đầu đến cơ chế né tránh phát hiện, mỗi bước đều được thiết kế tỉ mỉ.

Giai đoạn Lây nhiễm Ban đầu

Quá trình lây nhiễm bắt đầu khi người dùng thực thi tập tin shortcut lừa đảo. Tập tin này sẽ chạy một script VBS với tên ngẫu nhiên, ví dụ: u566387.vbs. Script VBS này sau đó kích hoạt mã độc BAT để thực hiện các thao tác quan trọng.

Các thao tác này bao gồm thêm đường dẫn loại trừ vào Windows Defender và tạo một thư mục có khoảng trắng trong tên tại C:Windows System32. Kỹ thuật này được sử dụng để né tránh các biện pháp phát hiện thông thường.

Ví dụ về lệnh BAT có thể được thực thi:

@echo off
SET "target_dir=C:Windows System32"
IF NOT EXIST "%target_dir%" mkdir "%target_dir%"
rem Add Windows Defender exclusion (simplified example)
"%PROGRAMFILES%Windows DefenderMpCmdRun.exe" -Add-Exclusion -Path "%target_dir%"
copy /Y "<USB_Drive>sysvolumeprintui.dll" "%target_dir%printui.dll"
start "" "%SYSTEMROOT%System32printui.exe" /s /i "%target_dir%printui.dll"

Script BAT sao chép và đổi tên dropper mã độc thành printui.dll. Sau đó, nó tải DLL này thông qua chương trình hợp lệ printui.exe của Windows, một kỹ thuật được gọi là tải phụ DLL (DLL sideloading).

Cơ chế Duy trì và Hoạt động

Thành phần dropper thiết lập cơ chế duy trì bằng cách đăng ký DLL độc hại với dịch vụ DcomLaunch. Sau khi được đăng ký, mã độc được gọi là PrintMiner điều chỉnh cài đặt nguồn của hệ thống để ngăn chặn chế độ ngủ.

Loại mã độc này cũng liên lạc với các máy chủ command-and-control (C2) để tải về các payload được mã hóa. Các tập tin đã giải mã bao gồm XMRig, được cấu hình để khai thác Monero. Các tham số cấu hình cụ thể không được cung cấp trong thông tin ban đầu, nhưng chúng sẽ chỉ định pool khai thác và thông tin ví.

Mã cấu hình XMRig điển hình có thể bao gồm:

{
    "api": {
        "id": null,
        "worker-id": null
    },
    "http": {
        "enabled": false,
        "host": "127.0.0.1",
        "port": 0,
        "access-token": null,
        "restricted": true
    },
    "background": true,
    "cpu": true,
    "opencl": false,
    "cuda": false,
    "log-file": null,
    "donate-level": 1,
    "donate-over-proxy": 1,
    "pools": [
        {
            "algo": null,
            "coin": null,
            "url": "<mining_pool_address>:<port>",
            "user": "<Monero_wallet_address>",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": false,
            "tls": false,
            "tls-fingerprint": null,
            "pool-no-tls-fingerprint": false,
            "daemon": false,
            "socks5": null,
            "self-select": null,
            "submit-env-info": false
        }
    ],
    "print-time": 60,
    "health-print-time": 60,
    "retries": 5,
    "retry-pause": 5,
    "syslog": false,
    "user-agent": null,
    "watch": true
}

Kỹ thuật Né tránh Phát hiện

Để tránh bị phát hiện, mã độc liên tục giám sát các tiến trình đang chạy. Khi người dùng khởi chạy các trò chơi hoặc công cụ giám sát tiến trình như Process Explorer, Task Manager và System Informer, mã độc sẽ tự động chấm dứt tiến trình XMRig.

Kỹ thuật né tránh này giúp công cụ khai thác tránh bị phát hiện và giảm thiểu tác động đến hiệu suất hệ thống. Việc này làm cho nạn nhân ít có khả năng cảnh báo hơn. Các cuộc tấn công dựa trên USB vẫn cực kỳ hiệu quả khi kết hợp với các kỹ thuật kỹ thuật xã hội.

Chỉ số Thỏa hiệp (IOCs) của Mã độc

Để hỗ trợ phát hiện và ứng phó, dưới đây là các chỉ số thỏa hiệp liên quan đến chiến dịch mã độc CoinMiner này:

• Tên tập tin độc hại:USB Drive.lnk (tập tin shortcut), u566387.vbs (tên ngẫu nhiên cho script VBS), printui.dll (dropper đã đổi tên).
• Thư mục độc hại:sysvolume (trên ổ USB), C:Windows System32 (thư mục ẩn với khoảng trắng).
• Tên tiến trình liên quan:printui.exe (tiến trình hợp lệ được khai thác), xmrig.exe (tiến trình khai thác Monero).
• Dịch vụ hệ thống bị lợi dụng:DcomLaunch (để duy trì).
• Tiến trình giám sát bị né tránh:Process Explorer, Task Manager, System Informer, các trò chơi.

Khuyến nghị Phòng chống và Phát hiện

Đối phó với các chiến dịch phát tán mã độc qua USB đòi hỏi sự kết hợp giữa nhận thức người dùng và các biện pháp kỹ thuật.

• Nâng cao nhận thức: Huấn luyện người dùng về các rủi ro của việc kết nối và mở tập tin từ các thiết bị USB không đáng tin cậy. Luôn kiểm tra nội dung của USB trước khi thực thi bất kỳ tập tin nào, đặc biệt là các tập tin shortcut.
• Giám sát hệ thống: Triển khai các giải pháp phát hiện xâm nhập (IDS/EDR) để giám sát hoạt động bất thường của tiến trình, thay đổi hệ thống và kết nối mạng đến các máy chủ C2.
• Chính sách nhóm: Cấu hình chính sách nhóm để tự động vô hiệu hóa tính năng Autorun/Autoplay cho các thiết bị USB. Hạn chế quyền thực thi các script từ các thư mục không đáng tin cậy.
• Quét và phân tích: Sử dụng phần mềm bảo mật cập nhật để quét tất cả các thiết bị lưu trữ di động trước khi truy cập nội dung. Áp dụng các công cụ phân tích tĩnh/động để kiểm tra các tập tin đáng ngờ.