Một chiến dịch malvertising quy mô lớn, hoạt động tích cực từ tháng 1 năm 2026, đã lợi dụng sự cấp bách của người dân trong mùa khai thuế để triển khai các trang giả mạo biểu mẫu thuế thông qua Google Ads. Mục tiêu cuối cùng là cài đặt một công cụ vô hiệu hóa EDR (Endpoint Detection and Response) ở chế độ kernel trên máy tính nạn nhân.
Chiến dịch này nhắm vào các cá nhân tìm kiếm tài liệu W-2 và W-9, với các trang đích giả mạo cổng thông tin tuân thủ của IRS, thu hút nhân viên, người làm việc tự do và chủ doanh nghiệp nhỏ trong mùa khai thuế.
Tổng Quan Chiến Dịch Malvertising
Chiến dịch malvertising bắt đầu từ những tìm kiếm đơn giản. Khi người dùng nhập “W2 tax form” vào Google, một kết quả được tài trợ dẫn họ đến anukitax[.]com.
Trang này sau đó chuyển hướng đến bringetax[.]com, là trang phân phối thực tế cho một trình cài đặt ScreenConnect giả mạo có tên form_w9.msi.
ScreenConnect là một công cụ quản lý từ xa hợp pháp, điều này khiến nạn nhân cài đặt nó mà không do dự, làm tăng hiệu quả của cuộc tấn công.
Sau khi được kích hoạt, kẻ tấn công sẽ giành quyền truy cập hoàn toàn vào máy tính thông qua một phiên bản đám mây dùng thử, không cần phê duyệt của doanh nghiệp hoặc giám sát từ đội ngũ IT.
Các nhà nghiên cứu đã xác định chiến dịch này trong quá trình săn lùng mối đe dọa định kỳ, theo dõi hơn 60 phiên ScreenConnect giả mạo trên cơ sở khách hàng của họ. Tìm hiểu thêm chi tiết về chiến dịch tại báo cáo của Huntress.
Ban đầu được xác định là hoạt động công cụ từ xa đáng ngờ, chiến dịch này nhanh chóng được làm rõ là một hoạt động đa giai đoạn có phối hợp, với một payload được phân lớp sâu.
Payload này được thiết kế để vô hiệu hóa hoàn toàn các công cụ bảo mật endpoint, mở đường cho các mục tiêu tiếp theo như triển khai mã độc tống tiền (ransomware) hoặc môi giới truy cập ban đầu.
Chuỗi Tấn Công Kỹ Thuật Chuyên Sâu
Giai Đoạn Khai Thác Ban Đầu
Sau khi truy cập vào máy mục tiêu thông qua ScreenConnect, kẻ tấn công đã thực thi một công cụ mã hóa đa giai đoạn có tên FatMalloc (dưới dạng crypteds.exe) trực tiếp từ thư mục làm việc của ScreenConnect.
Song song đó, các công cụ sao lưu như FleetDeck cũng được triển khai, với việc thiết lập từ hai đến ba phiên chuyển tiếp (relay instances) trên mỗi máy chủ để duy trì quyền truy cập ngay cả khi một phần hệ thống bị khắc phục.
FatMalloc và Kỹ Thuật Chống Phân Tích
FatMalloc bắt đầu bằng cách cấp phát 2GB bộ nhớ và điền đầy số 0 trước khi giải phóng. Kỹ thuật này buộc các trình giả lập phần mềm chống virus phải hết thời gian chờ (timeout) trước khi tiếp cận payload thực sự.
Điều này xảy ra vì chúng không thể mô phỏng một hoạt động cấp phát bộ nhớ lớn như vậy một cách hiệu quả.
Các môi trường sandbox có bộ nhớ hạn chế sẽ thất bại hoàn toàn trong việc cấp phát, khiến mã độc tự động thoát mà không để lại dấu vết.
Nếu kiểm tra này vượt qua, FatMalloc thực thi shellcode của nó một cách gián tiếp bằng cách sử dụng API bộ hẹn giờ đa phương tiện của Windows.
Thay vì tạo một luồng mới rõ ràng, trình mã hóa này chuyển địa chỉ của shellcode dưới dạng dữ liệu người dùng đến hàm timeSetEvent, sau đó hàm này gọi shellcode thông qua một callback sau 100 mili giây.
Các công cụ bảo mật giám sát việc tạo luồng trực tiếp sẽ bỏ qua hoàn toàn kỹ thuật này, vì quá trình thực thi dường như bắt nguồn từ winmm.dll.
Shellcode sau đó tự giải mã bằng phương pháp XOR block-based trước khi giải nén payload HwAudKiller cuối cùng vào bộ nhớ bằng cách sử dụng LZNT1.
HwAudKiller và Vô Hiệu Hóa Giải Pháp Bảo Mật
HwAudKiller thả driver âm thanh của Huawei (HWAuidoOs2Ec.sys) xuống đĩa dưới dạng Havoc.sys và đăng ký nó như một dịch vụ kernel.
Vì driver này mang chữ ký số Huawei hợp lệ, Windows tải nó mà không gặp vấn đề gì. Đây là một kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) được sử dụng để tấn công và né tránh các biện pháp bảo mật.
Công cụ này sau đó lặp qua tất cả các tiến trình đang chạy cứ sau 100 mili giây, gửi các PID (Process ID) phù hợp đến driver thông qua IOCTL 0x2248DC.
Driver này gọi hàm ZwTerminateProcess từ chế độ kernel để tiêu diệt 23 tiến trình bảo mật mục tiêu, bao gồm Windows Defender, Kaspersky và SentinelOne. Điều này cho phép bỏ qua tất cả các biện pháp bảo vệ ở chế độ người dùng.
Sau khi các biện pháp phòng thủ bị vô hiệu hóa, kẻ tấn công đã đánh cắp thông tin đăng nhập LSASS và chạy NetExec trên toàn mạng để thu thập tài khoản trên quy mô lớn.
Mô hình hành vi này rất phù hợp với các giai đoạn chuẩn bị cho một cuộc tấn công ransomware hoặc các hoạt động môi giới truy cập ban đầu.
Dấu Hiệu Nhận Diện (IOCs) và Thông Tin Kỹ Thuật
Ngoài các mồi nhử liên quan đến thuế, thư mục mở bị lộ của kẻ tấn công còn cho thấy một trang cập nhật Google Chrome giả mạo chứa các bình luận JavaScript tiếng Nga. Điều này cung cấp một chỉ báo kỹ thuật về nguồn gốc của một số thành phần.
Cả hai loại mồi nhử đều kéo payload từ cùng một hạ tầng chia sẻ tệp 4sync, xác nhận đây không phải là một chiến dịch độc lập mà là một hoạt động có tổ chức đang chạy nhiều mặt trận kỹ thuật xã hội cùng lúc.
Indicators of Compromise (IOCs)
- Tên miền độc hại:
anukitax[.]combringetax[.]com
- Tên tệp độc hại:
form_w9.msi(ScreenConnect giả mạo)crypteds.exe(FatMalloc)HWAuidoOs2Ec.sys(Driver Huawei gốc)Havoc.sys(Driver Huawei đã đổi tên)
- Tên mã độc/công cụ:
- FatMalloc
- HwAudKiller
- FleetDeck
- NetExec
- IOCTL được sử dụng:
0x2248DC(để giao tiếp với driver kernel)
Biện Pháp Phòng Ngừa và Phát Hiện
Để tự bảo vệ khỏi các cuộc tấn công mạng tương tự, người dùng và đội ngũ IT cần thực hiện các biện pháp chủ động và tăng cường cảnh giác.
Khuyến Nghị Cho Người Dùng
- Chỉ tải các biểu mẫu thuế trực tiếp từ trang web chính thức của IRS.gov.
- Cẩn trọng với các kết quả tìm kiếm được tài trợ cho các tài liệu chính phủ, vì chúng thường là mồi nhử cho các chiến dịch malvertising.
Khuyến Nghị Cho Đội Ngũ IT và Chuyên Gia An Ninh Mạng
- Thiết lập danh sách trắng (allowlist) cho các công cụ quản lý từ xa (RMM) đã được phê duyệt trong môi trường của bạn.
- Gắn cờ bất kỳ phiên bản ScreenConnect dùng thử nào là đáng ngờ, đặc biệt là những phiên bản sử dụng các mẫu chuyển tiếp
instance-*. - Cấu hình Sysmon Event IDs 6 và 7045 để cảnh báo về việc tạo driver kernel từ các thư mục tạm thời (TEMP directories).
- Mọi tệp nhị phân không có chữ ký được thực thi từ đường dẫn làm việc của ScreenConnect đều cần được điều tra ngay lập tức.
Ví Dụ Cấu Hình Sysmon (giả định)
Ví dụ cấu hình Sysmon để giám sát việc tạo driver từ thư mục TEMP:
<EventFiltering>
<DriverLoad onmatch="exclude">
<Rule group="System32Drivers">
<Image condition="begin with">C:\Windows\System32\drivers</Image>
</Rule>
</DriverLoad>
<DriverLoad onmatch="include">
<Rule group="TempDirectoryDrivers">
<Image condition="contains">\Temp\</Image>
<Signed condition="is">false</Signed>
</Rule>
<Rule group="ScreenConnectWorkingDir">
<ParentImage condition="contains">ConnectWiseControl.Client.exe</ParentImage>
<Signed condition="is">false</Signed>
</Rule>
</DriverLoad>
</EventFiltering>Việc theo dõi chặt chẽ các hoạt động hệ thống và duy trì ý thức bảo mật cao là yếu tố then chốt để đối phó hiệu quả với các mối đe dọa tiên tiến như chiến dịch malvertising này.
