Tháng 8 năm 2025 đã chứng kiến sự gia tăng đáng kể các cuộc tấn công có chủ đích của DarkCloud Stealer nhắm vào các tổ chức tài chính trên toàn cầu. Các nhà phân tích và chuyên gia săn lùng mối đe dọa MDR của CyberProof đã xác định một làn sóng email lừa đảo chứa các kho lưu trữ RAR độc hại được thiết kế để nhắm mục tiêu vào người dùng Windows. Khi được thực thi, những kho lưu trữ này đã giải phóng một payload đa giai đoạn được thiết kế để đánh cắp dữ liệu thông tin đăng nhập từ các ứng dụng email, tiện ích FTP và trình duyệt web.

Các cảnh báo EDR đã tiết lộ kỹ thuật tiêm tiến trình tinh vi vào MSBuild.exe. Điều tra sâu hơn đã phát hiện một loader DarkCloud Stealer mới lạ được nhúng trong một tệp JPEG, được truy xuất thông qua PowerShell. Quá trình xuất dữ liệu xảy ra qua cả kênh FTP và SMTP.

Diễn Biến Kỹ Thuật Cuộc Tấn Công

Giai Đoạn Khởi Phát và Lây Nhiễm

Cuộc tấn công bắt đầu bằng một email lừa đảo chứa tệp đính kèm có tên Proof of Payment.rar. Mã băm SHA256 của tệp này là: 0ebc9f70eba3c50c2e6be8307f25e7ca572b1a26a1c37af00b22549f6e0a8129.

Sau khi giải nén, nạn nhân sẽ thấy tệp Proof of Payment.vbe (SHA256: 90eefdabd6f33de39071d4bfd540654bfdc60bff3198d5637f82e10b0cabd01d), được thực thi thông qua wscript.exe.

Script VBE này tận dụng PowerShell để giải mã nội dung base64 được nhúng, hướng dẫn tải xuống tệp universe-1733359315202-8750.jpg (SHA256: 89959ad7b1ac18bbd1e850f05ab0b5fce164596bce0f1f8aafb70ebd1bbcf900). Để biết thêm chi tiết về cách mã độc lợi dụng PowerShell, tham khảo tại đây.

Kỹ Thuật Loader và Triển Khai Payload

Bên trong tệp JPEG ẩn chứa một payload DLL đã được mã hóa—chính là loader của DarkCloud Stealer. Payload này chỉ có thể được phục hồi thông qua quy trình giải mã dựa trên reflection của script.

Sau khi giải mã, loader sử dụng [Reflection.Assembly]::Load() để khởi tạo một assembly .NET trong bộ nhớ và gọi điểm truy cập của nó. Loader này tiếp tục tìm nạp các module bổ sung từ cơ sở hạ tầng do kẻ tấn công kiểm soát.

Để duy trì quyền truy cập, DarkCloud Stealer thiết lập persistence bằng cách sao chép một tệp JavaScript có tên wardian.js vào đường dẫn C:UsersPublicDownloads. Một khóa registry được tạo trong HKCUSoftwareMicrosoftWindowsCurrentVersionRun để khởi chạy tệp JS này mỗi khi người dùng đăng nhập thông qua một lệnh cmd.exe.

Trong một chiến thuật duy trì quyền truy cập thứ cấp, stealer còn thả một tệp thực thi được ngụy trang—M3hd0pf.exe—vào thư mục AppData Roaming của người dùng. Tệp này cũng được đăng ký trong khóa Run dưới danh nghĩa msbuild.exe để đánh lừa hệ thống. Đường dẫn đầy đủ của tệp này là: C:Users<user>AppDataRoamingWindows Multimedia PlatformM3hd0pf.exe.

Kỹ Thuật Injection và Thu Thập Thông Tin

Khi đã hiện diện, DarkCloud Stealer tiến hành các cuộc tấn công injection mã vào các tệp thực thi Windows hợp pháp. Mục tiêu chính là msbuild.exe, nơi nó thực hiện kỹ thuật “hollowing” bộ nhớ để tải payload của stealer.

Một injection tiếp theo vào mtstocom.exe kích hoạt các quy trình để trích xuất thông tin đăng nhập đã lưu từ các trình duyệt dựa trên Chromium và hồ sơ Outlook. Các cảnh báo EDR đã ghi nhận các sự kiện hollowing và các nỗ lực truy cập thông tin đăng nhập này, cung cấp dữ liệu quan trọng để ứng phó sự cố nhanh chóng.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Mã Băm (Hashes)

• SHA256:0ebc9f70eba3c50c2e6be8307f25e7ca572b1a26a1c37af00b22549f6e0a8129 (Proof of Payment.rar)
• SHA256:90eefdabd6f33de39071d4bfd540654bfdc60bff3198d5637f82e10b0cabd01d (Proof of Payment.vbe)
• SHA256:89959ad7b1ac18bbd1e850f05ab0b5fce164596bce0f1f8aafb70ebd1bbcf900 (universe-1733359315202-8750.jpg)

Giao Tiếp C2 và Tên Miền Độc Hại

Các nhà vận hành DarkCloud Stealer sử dụng thuật toán tạo miền (DGA) để tạo các điểm cuối Command-and-Control (C2) tạm thời. Các chuyên gia săn lùng mối đe dọa đã quan sát thấy các yêu cầu DNS và kết nối HTTP đến các miền sau:

• Blurjbxy[.]shop
• dmetis[.]xyz
• rangersorange[.]click
• financialsecured[.]xyz

Các kênh xuất dữ liệu bao gồm cả giao thức FTP và SMTP, cho phép truyền tải đáng tin cậy các dữ liệu đã thu thập được. Stealer đóng gói thông tin đăng nhập và các hiện vật từ trình duyệt vào các kho lưu trữ đã mã hóa trước khi gửi đi.

Đường Dẫn Tập Tin Phát Hiện

• C:UsersPublicDownloadswardian.js
• C:Users<user>AppDataRoamingWindows Multimedia PlatformM3hd0pf.exe

Khóa Registry Persistence

Khóa registry được sử dụng để duy trì quyền truy cập:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Chiến Lược Phát Hiện Xâm Nhập và Phòng Ngừa

Phát Hiện Trên Điểm Cuối

Để tăng cường khả năng phòng thủ, các nhà phân tích của CyberProof Threat Intel đã phát triển các truy vấn săn lùng mối đe dọa nâng cao. Các truy vấn này giúp phát hiện xâm nhập bằng cách:

• Phát hiện việc thực thi các tệp VBE, VBS hoặc JS được khởi tạo từ các tiến trình Outlook.
• Đánh dấu các truy cập thông tin đăng nhập đáng ngờ từ các đường dẫn trình duyệt đã biết.

Các quy tắc EDR được điều chỉnh để giám sát msbuild.exe và mtstocom.exe về các ánh xạ bộ nhớ bất thường có thể ngăn chặn giai đoạn injection. Thông tin chi tiết hơn về các cuộc tấn công này có thể được tìm thấy trên blog của CyberProof: DarkCloud Stealer Targets Financial Organizations.

Giám Sát Mạng

Giám sát mạng nên tập trung vào các kết nối bất thường đến các tên miền cấp cao (TLD) không phổ biến và các phiên FTP hoặc SMTP tự động có nguồn gốc từ các máy trạm của người dùng. Đây là các dấu hiệu cảnh báo quan trọng của hoạt động DarkCloud Stealer.

Phân Tích Tổng Quan Mối Đe Dọa

Chiến dịch DarkCloud Stealer minh họa sự tinh vi ngày càng tăng của tác nhân đe dọa, tận dụng các kho lưu trữ vũ khí hóa, các loader dựa trên hình ảnh và cơ chế xuất dữ liệu kênh đôi. Bằng cách công khai chia sẻ các chỉ số chi tiết và chiến thuật giảm thiểu rủi ro, CyberProof trang bị cho các tổ chức khả năng tăng cường phòng thủ, phát hiện sớm các dấu hiệu thỏa hiệp và phá vỡ chuỗi tấn công trước khi các thông tin tài chính nhạy cảm bị rò rỉ dữ liệu nhạy cảm.