Tin tức bảo mật ghi nhận một chiến dịch phát tán mã độc ransomware không có trong dữ liệu gốc, nhưng có miner và RAT được ngụy trang bằng thông báo cập nhật giả cho plugin phát video. Người dùng truy cập các trang phát trực tuyến lậu bị dẫn tới hộp thoại cảnh báo rằng plugin video đã lỗi thời và cần cập nhật để tiếp tục xem.
Cơ chế phát tán qua trình cập nhật giả
Chiến dịch được phát hiện vào cuối tháng 4/2026 khi một nạn nhân báo cáo máy tính nhân viên âm thầm chạy tiến trình đào coin. Chuỗi lây nhiễm bắt đầu từ các nền tảng streaming trái phép, nơi thông báo fake update yêu cầu tải xuống một gói ZIP độc hại.
Tệp nén trông hợp lệ, chứa một bộ cài đặt có vẻ bình thường cùng một thư viện DLL ẩn. Khi người dùng bấm vào nút cập nhật giả, hệ thống tải về gói cài đặt mang tên HLS Installer.874.exe và một DLL kích thước lớn.
Side-loading DLL và ẩn mình trong tiến trình hợp lệ
Sau khi file thực thi chạy, DLL độc hại được side-load vào một tiến trình hệ thống hợp lệ. Kỹ thuật này giúp mã độc ẩn dưới vỏ bọc phần mềm đáng tin cậy và giảm khả năng bị phát hiện bởi các công cụ giám sát thông thường.
Thư viện DLL được thêm nhiều mã rác để làm chậm phân tích. Bên trong, một hàm cố ý kích hoạt stack overflow để xây dựng chuỗi lệnh giải mã và nạp payload thật vào bộ nhớ.
Lỗ hổng CVE và phạm vi kỹ thuật
Đây không phải là lỗ hổng CVE hay zero-day vulnerability, mà là một chiến dịch kỹ thuật xã hội kết hợp tải xuống tệp độc hại, side-loading DLL và điều khiển từ xa. Không có CVE nghiêm trọng cụ thể nào được nêu trong nội dung gốc.
Tham chiếu thêm tại Securelist để đối chiếu báo cáo phân tích gốc.
Chuỗi thực thi và cơ chế điều khiển
Payload sau đó gửi thông tin hệ thống nạn nhân về máy chủ điều khiển qua DNS tunneling. Lưu lượng được ngụy trang để giống hoạt động bình thường bằng cách mô phỏng tên miền kiểu Microsoft.
Chỉ sau khi nhận được tín hiệu phê duyệt cụ thể từ máy chủ, mã độc mới tiếp tục chạy. Cách làm này cho thấy chiến dịch có bộ lọc mục tiêu, nhằm tránh môi trường kiểm thử hoặc môi trường giám sát an ninh.
Trong nội dung gốc không có IOC dạng IP hoặc domain cụ thể đã giải mã; chỉ có hướng dẫn rằng các chỉ số được cố tình defang và cần xử lý trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM.
Ảnh hưởng hệ thống
Core payload là phiên bản đã chỉnh sửa của một miner nguồn mở tên SilentCryptoMiner. Khi hoạt động, nó dùng âm thầm CPU và GPU của máy nạn nhân để đào tiền điện tử.
Một module RAT chạy nền cho phép kẻ tấn công thực thi lệnh từ xa, chạy file và đẩy thêm mã độc bất kỳ lúc nào. Điều này biến máy bị xâm nhập thành điểm điều khiển từ xa với rủi ro bảo mật cao.
Độ lan rộng của chiến dịch
Hạ tầng phân phối của chiến dịch có quy mô đáng kể. Các trang web liên quan ghi nhận tổng cộng 40 triệu lượt truy cập trong tháng 4/2026.
Nền tảng streaming lớn nhất đạt từ 2,1 triệu đến 27,4 triệu lượt truy cập mỗi tháng, trong khi thư viện số nhỏ nhất vẫn có khoảng 11.000 người dùng thường xuyên mỗi tháng.
Chiến dịch cũng mở rộng từ trang streaming sang thư viện sách và phim trực tuyến, cho thấy phạm vi phát tán rộng và tập trung vào người dùng nội dung lậu.
Kỹ thuật tồn tại và tái kích hoạt
Để bám trụ trên thiết bị, mã độc tạo một dịch vụ giả mang tên GoogleUpdateTaskMachineQC, tự khởi chạy ở mỗi lần hệ thống bật lên. Đây là dấu hiệu rõ cho một chiến dịch mối đe dọa mạng có khả năng duy trì lâu dài.
Thành phần watchdog chạy trong Windows Explorer kiểm tra mỗi 5 giây để xác nhận miner còn hoạt động. Nếu bị xóa, nó sẽ khôi phục lại từ bản sao được mã hóa.
Vì vậy, khi xử lý sự cố, đội phản ứng cần dừng watchdog trong explorer.exe trước khi làm sạch, nếu không miner sẽ tự cài lại.
IOC và dấu hiệu cần theo dõi
- Tên file:
HLS Installer.874.exe - Dịch vụ giả:
GoogleUpdateTaskMachineQC - Tiến trình liên quan:
explorer.exe - Tiến trình liên quan:
conhost.exe - Đường dẫn cần kiểm tra:
C:\ProgramData\Google\Chrome - Kỹ thuật mạng: DNS tunneling
- Hành vi: tải ZIP qua cảnh báo cập nhật giả, side-loading DLL, mining, RAT
Dấu hiệu phát hiện xâm nhập
Nhóm giám sát cần chú ý lưu lượng DNS bất thường, các dịch vụ giả dạng Google updater, và hành vi tiêm mã vào explorer.exe hoặc conhost.exe. Đây là các tín hiệu quan trọng cho phát hiện tấn công sớm trong bối cảnh chiến dịch này.
Các máy trạm có thư mục lạ trong C:\ProgramData\Google\Chrome cần được kiểm tra ngay, đặc biệt khi đồng thời xuất hiện tiến trình đào coin hoặc tăng tải CPU/GPU bất thường.
Biện pháp giám sát và làm sạch
Chiến dịch này không yêu cầu cập nhật bản vá cho một lỗ hổng CVE cụ thể, mà cần kiểm soát hành vi thực thi và nguồn tải xuống. Người vận hành nên giám sát các trang streaming lậu vì đây là kênh phân phối chính.
Đội bảo mật cần giữ endpoint protection luôn cập nhật để tăng khả năng phát hiện sớm. Nếu phát hiện dịch vụ giả hoặc tiến trình đào coin, cần cô lập máy, dừng watchdog và kiểm tra các file nén, DLL và thành phần khởi động cùng hệ thống.
Trong trường hợp cần đối chiếu chỉ số hoặc dựng quy tắc phát hiện, nên xử lý các IOC đã defang trong nền tảng điều tra nội bộ hoặc SIEM, không kích hoạt trực tiếp trên hệ thống sản xuất.
Tham chiếu kỹ thuật
Báo cáo gốc được công bố và phân tích bởi Securelist, mô tả chuỗi lây nhiễm, cơ chế side-loading DLL, DNS tunneling và thành phần miner/RAT. Đây là nguồn tham khảo phù hợp cho các hoạt động threat intelligence và xây dựng phát hiện xâm nhập.
