Một biến thể mới của mã độc đánh cắp thông tin DarkCloud đã được phát hiện nhằm vào các hệ thống Microsoft Windows. Biến thể này chủ yếu ảnh hưởng đến người dùng Windows bằng cách thu thập dữ liệu nhạy cảm như thông tin đăng nhập, thông tin tài chính và danh bạ cá nhân.

Phát Hiện và Đặc Điểm Kỹ Thuật của DarkCloud

Được Fortinet’s FortiGuard Labs phát hiện vào đầu tháng 7 năm 2025, chiến dịch này có mức độ nghiêm trọng cao, sử dụng các chiến thuật phishing tinh vi để khởi tạo lây nhiễm.

Mã độc thể hiện các phương pháp né tránh tiên tiến, bao gồm thực thi không cần tệp (fileless execution) và kỹ thuật làm rỗng quy trình (process hollowing).

Mã độc DarkCloud, được xác định lần đầu vào năm 2022, là một mã độc tinh vi chạy trên nền tảng Windows được thiết kế để đánh cắp nhiều loại thông tin nhạy cảm từ các máy bị xâm nhập.

Điều này đặt ra những rủi ro đáng kể đối với quyền riêng tư cá nhân và an ninh tổ chức, đặc biệt khi liên quan đến đánh cắp dữ liệu nhạy cảm.

Chuỗi Lây Nhiễm Ban Đầu

Chuỗi lây nhiễm của chiến dịch bắt đầu bằng một email phishing chứa tệp lưu trữ RAR được ngụy trang thành một báo giá khẩn cấp.

Email này thiếu nội dung tin nhắn, nhằm mục đích khơi gợi sự tò mò và thúc đẩy người dùng tương tác ngay lập tức.

Khi giải nén, tệp lưu trữ sẽ hiển thị một tệp JavaScript độc lập.

Tệp JavaScript này, khi được thực thi qua WScript.exe, sẽ giải mã và khởi chạy mã PowerShell được mã hóa Base64.

Cơ Chế Thực Thi Payload và Persistence

Script PowerShell sau đó tải xuống một hình ảnh JPEG dường như vô hại, nhưng thực chất chứa một tệp .NET DLL được mã hóa.

Tệp DLL này được ngụy trang thành một hợp phần hợp pháp của Microsoft.Win32.TaskScheduler.

DLL được tải một cách phản chiếu (reflectively) bằng cách sử dụng [Reflection.Assembly]::Load() và gọi phương thức VAI(), truyền các tham số tạo điều kiện cho cơ chế duy trì và triển khai payload của mã độc DarkCloud.

Mô-đun .NET thiết lập cơ chế duy trì quyền truy cập bằng cách sao chép tệp JavaScript ban đầu vào một thư mục công cộng, ví dụ:

C:UsersPublicDownloadsedriophthalma.js

Đồng thời, mã độc thêm một mục nhập tự khởi chạy vào registry tại HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun, đảm bảo thực thi tự động khi khởi động hệ thống.

Sau đó, nó giải mã một chuỗi Base64 đảo ngược để truy xuất một URL (hxxp://paste[.]ee/d/0WhDakVP/0), từ đó tải xuống một tệp PE đảo ngược.

Kỹ Thuật Làm Rỗng Quy Trình (Process Hollowing)

Tệp PE đảo ngược này được chuyển đổi từ định dạng hex sang nhị phân và được tiêm vào một quy trình MSBuild.exe đang bị tạm dừng thông qua kỹ thuật làm rỗng quy trình (process hollowing).

Kỹ thuật này sử dụng các API của Windows như CreateProcess(), NtUnmapViewOfSection(), WriteProcessMemory(), SetThreadContext(), và ResumeThread() để làm rỗng quy trình hợp pháp và thực thi mã độc một cách bí mật.

Các Tính Năng Chống Phân Tích

Payload của mã độc DarkCloud, được triển khai bằng Microsoft Visual Basic 6, tích hợp các tính năng chống phân tích tinh vi.

Nó chứa hơn 600 chuỗi hằng số được mã hóa, chỉ được giải mã khi chạy.

Ngoài ra, mã độc còn có cơ chế chống sandbox, theo dõi hoạt động bàn phím và chuột thông qua các lệnh gọi GetAsyncKeyState().

Mã độc này sẽ duy trì trạng thái ngủ đông cho đến khi phát hiện tương tác của người dùng để né tránh các môi trường phân tích tự động.

Thu Thập và Xuất Lộ Thông Tin

Thu Thập Dữ Liệu

Khi hoạt động, mã độc DarkCloud sẽ thu thập thông tin hệ thống cơ bản, bao gồm tên máy tính và tên người dùng thông qua rtcEnvironVar(), và địa chỉ IP công cộng của nạn nhân từ http://showip.NET.

Nó nhắm mục tiêu vào thông tin đăng nhập và chi tiết thanh toán từ các trình duyệt như Google Chrome, Microsoft Edge, Mozilla Firefox và Brave.

Mã độc truy vấn các cơ sở dữ liệu SQLite trong các đường dẫn hồ sơ để lấy dữ liệu đăng nhập và thông tin thẻ tín dụng bằng các câu lệnh SQL như:

SELECT origin_url, username_value, password_value FROM logins

Các trường được mã hóa sẽ được giải mã bằng một tệp EXE phụ trợ được thả xuống.

Dữ liệu bổ sung được thu thập từ các ứng dụng email (ví dụ: Mozilla Thunderbird, Microsoft Outlook), công cụ FTP (ví dụ: WinSCP, FileZilla), và các ứng dụng như Adobe, dnSpy, Wireshark. Các đầu ra được lưu trữ trong các tệp văn bản cục bộ.

Danh bạ email cũng được trích xuất và lưu vào các tệp như ThunderBirdContacts.txt hoặc OutlookContacts.txt. Chi tiết về cơ chế thu thập dữ liệu này được mô tả trong báo cáo của Fortinet về biến thể mới của DarkCloud. Xem chi tiết từ Fortinet.

Kênh Xuất Lộ Dữ Liệu (Exfiltration)

Việc xuất lộ dữ liệu (exfiltration) chủ yếu diễn ra qua SMTP.

Các chi tiết máy chủ được giải mã cho phép mã độc DarkCloud đính kèm các tệp dữ liệu vào email, thêm thông tin nạn nhân vào dòng tiêu đề để kẻ tấn công dễ dàng nhận diện.

Tất cả dữ liệu được truyền qua TLS để duy trì tính bí mật.

Chỉ Số Thỏa Hiệp (IOCs) và Biện Pháp Đối Phó

Dựa trên phân tích, các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch mã độc DarkCloud bao gồm:

• Tệp JavaScript mẫu:edriophthalma.js
• Đường dẫn persistence mẫu:C:UsersPublicDownloadsedriophthalma.js
• Mục Registry tự khởi chạy:HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
• URL tải payload:hxxp://paste[.]ee/d/0WhDakVP/0 (URL đã bị defang)
• Tên quy trình bị tiêm:MSBuild.exe
• URL kiểm tra IP công cộng:http://showip.NET
• Signature AntiVirus của Fortinet:JS/DarkCloud.ACVJ!tr, W32/DarkCloud.QU!tr

Giải Pháp Bảo Vệ và Khuyến Nghị An Toàn Thông Tin

Các giải pháp bảo vệ của Fortinet giúp giảm thiểu mối đe dọa này thông qua các dịch vụ AntiSPAM, Web Filtering, IPS (Hệ thống ngăn chặn xâm nhập), và AntiVirus.

Những dịch vụ này có khả năng phát hiện các email phishing, các URL độc hại và payload bằng các signature cụ thể.

Người dùng được khuyến nghị bật tính năng quét thời gian thực và tham gia các khóa đào tạo nâng cao nhận thức về bảo mật để nhận diện các nỗ lực phishing tương tự.

Việc áp dụng các biện pháp an ninh mạng chủ động là chìa khóa để bảo vệ hệ thống khỏi các biến thể của mã độc DarkCloud và các mối đe dọa mạng khác.