Các nhà nghiên cứu tại Unit 42 đã ghi nhận sự phát triển đáng kể trong các chiến thuật phân phối của DarkCloud Stealer, một loại mã độc đánh cắp thông tin (infostealer) mà các nhà nghiên cứu lần đầu tiên quan sát thấy sự thay đổi cơ chế lây nhiễm vào đầu tháng 4 năm 2025. Sự tiến hóa này cho thấy một mối đe dọa mạng phức tạp hơn, đòi hỏi các biện pháp phòng thủ nâng cao.

Sự Phát Triển Của Chuỗi Lây Nhiễm DarkCloud Stealer

Bản cập nhật này giới thiệu một chuỗi lây nhiễm mới lạ, kết hợp các kỹ thuật che giấu nâng cao thông qua ConfuserEx. Kết quả là một payload được viết bằng Visual Basic 6 (VB6), được thiết kế đặc biệt để ngăn chặn cả phân tích tĩnh và động.

Trước đây, các cuộc tấn công của DarkCloud Stealer chủ yếu dựa vào kịch bản AutoIt để né tránh phát hiện. Tuy nhiên, các biến thể mới nhất đã áp dụng các sơ đồ mã hóa và bảo vệ đa lớp trên ba chuỗi riêng biệt, mỗi chuỗi bắt đầu bằng email lừa đảo (phishing) chứa các tệp lưu trữ TAR, RAR, hoặc 7Z.

Chi Tiết Các Chuỗi Lây Nhiễm

Các tệp lưu trữ nói trên sẽ chứa các tệp JavaScript (JS) hoặc Windows Script Files (WSF) đã được che giấu. Những tệp này sau đó sẽ tìm nạp các kịch bản PowerShell (PS1) từ các máy chủ thư mục mở.

Các kịch bản PS1 này được mã hóa bằng Base64 và AES. Chúng có nhiệm vụ giải mã, thả và thực thi các tệp thực thi được bảo vệ bởi ConfuserEx, chứa payload DarkCloud Stealer cuối cùng.

Sự phức tạp của chuỗi này được thể hiện rõ qua việc sử dụng javascript-obfuscator cho các tệp JS và cơ chế giải mã AES tùy chỉnh trong các kịch bản PS1. Điều này nhấn mạnh sự tập trung của các tác nhân đe dọa vào việc làm phức tạp quá trình đảo ngược kỹ thuật (reverse engineering) trong khi vẫn duy trì khả năng tương thích rộng rãi với các môi trường Windows.

Kỹ Thuật Che Giấu và Chống Phân Tích

Đi sâu vào cấu trúc của mã độc, tệp thực thi .NET được bảo vệ bởi ConfuserEx bao gồm nhiều kỹ thuật chống giả mạo. Các kỹ thuật này bao gồm:

• Giải mã thân phương thức khi chạy (runtime method body decryption) trong hàm tạo mô-đun.
• Đổi tên biểu tượng (symbol renaming) thành các định danh không phải ASCII, gây khó khăn cho việc đọc mã.
• Che giấu luồng điều khiển (control flow obfuscation) với các vị từ mờ (opaque predicates), làm cho luồng thực thi khó theo dõi.
• Các phương thức gọi proxy (proxy call methods) để che giấu các lời gọi trực tiếp đến các hàm hoặc phương thức.
• Mã hóa hằng số (constant encoding), ẩn giấu các giá trị quan trọng trong mã.

Những kỹ thuật tấn công này cho thấy một nỗ lực đáng kể nhằm né tránh phát hiện và phân tích, biến DarkCloud Stealer thành một mối đe dọa mạng tinh vi.

Kỹ Thuật Đảo Ngược Được Sử Dụng

Theo báo cáo từ Unit 42 của Palo Alto Networks, các nhà nghiên cứu đã vượt qua các lớp bảo vệ này bằng cách sử dụng nhiều công cụ chuyên dụng. Chúng bao gồm AntiTamperKiller để loại bỏ các lệnh không hợp lệ, de4dot-cex để khôi phục biểu tượng và làm phẳng luồng điều khiển, cùng với các công cụ loại bỏ lời gọi proxy (proxy call removers) để đơn giản hóa logic.

Những nỗ lực này đã giúp tiết lộ các phương thức .NET tiêu chuẩn, chẳng hạn như Convert.FromBase64String, cho phép hiểu rõ hơn về hoạt động bên trong của mã độc DarkCloud Stealer.

Giải Mã Payload và Kỹ Thuật Tiêm Tiến Trình

Payload đã giải mã được lưu trữ dưới dạng mã hóa Triple DES (3DES) trong một mảng byte định dạng Length-Value. Mảng này được khởi tạo thông qua các phép toán XOR và bitwise trên một mảng số nguyên không dấu lớn.

Sau đó, payload này được tiêm vào một phiên bản tạm dừng của tiến trình hợp pháp RegAsm.exe thông qua kỹ thuật process hollowing (khoang rỗng tiến trình). Kỹ thuật này, còn được gọi là RunPE, cho phép tệp thực thi DarkCloud Stealer dựa trên VB6 hoạt động một cách lén lút và khó bị phát hiện.

Các chuỗi quan trọng bên trong mã độc, bao gồm biểu thức chính quy, đường dẫn registry, phần mở rộng tệp, và thông tin xác thực Telegram API cho máy chủ điều khiển và kiểm soát (C2), đều được mã hóa thêm bằng RC4 với các khóa riêng biệt cho mỗi văn bản mã hóa. Điều này làm tăng khả năng chống phân tích của DarkCloud Stealer.

Cơ Chế Bền Bỉ và Kiểm Soát & Điều Khiển (C2)

Việc sử dụng các đối tượng ActiveX của mã độc cho các tác vụ tải xuống và thực thi, kết hợp với việc đặt tên tệp ngẫu nhiên trong các thư mục tạm thời, tạo điều kiện thuận lợi cho khả năng bền bỉ và rò rỉ dữ liệu. Dữ liệu được thu thập thường được gửi đến các bot Telegram, hoạt động như các kênh C2.

Sự thích nghi trong các kỹ thuật tấn công của DarkCloud Stealer cho thấy một cuộc chạy đua vũ trang không ngừng trong mối đe dọa mạng. Các lớp che giấu như ConfuserEx và tích hợp VB6 nhằm mục đích vượt qua các phương pháp phát hiện dựa trên chữ ký truyền thống, nhấn mạnh nhu cầu về phân tích dựa trên hành vi.

Biện Pháp Phòng Thủ và Phát Hiện

Các nhóm bảo mật cần ưu tiên giám sát các hoạt động bất thường sau đây để chống lại mối đe dọa mạng như DarkCloud Stealer:

• Tiêm tiến trình (process injections) bất thường.
• Thực thi các kịch bản mã hóa.
• Kết nối đến các địa chỉ IP độc hại đã biết.

Các sản phẩm của Palo Alto Networks, bao gồm Advanced WildFire để phân tích dựa trên học máy, Advanced URL Filtering và DNS Security để chặn các miền liên quan, cùng với Cortex XDR/XSIAM để ngăn chặn mã độc chưa biết thông qua bảo vệ dựa trên hành vi, cung cấp các biện pháp phòng thủ mạnh mẽ.

Trong trường hợp nghi ngờ hệ thống bị xâm nhập, việc liên hệ ngay lập tức với các đội ứng phó sự cố được khuyến nghị để giảm thiểu rủi ro từ loại mã độc đánh cắp thông tin đang phát triển này.