Các phương thức gửi mã độc qua email đã trở nên tinh vi hơn. Kẻ tấn công đang lợi dụng cơ sở hạ tầng đáng tin cậy của Google DoubleClick để phân phối trình tải mã độc .NET fileless. Đây là một dạng mã độc hoạt động chủ yếu trong bộ nhớ, để lại rất ít dấu vết cho các nhà điều tra.
Chiến dịch Malspam Lợi dụng Google DoubleClick
Malspam, viết tắt của spam độc hại, đã là một phương thức tấn công phổ biến trong nhiều năm. Nó thường bao gồm việc gửi email với tệp đính kèm hoặc liên kết độc hại được thiết kế để khởi tạo một cuộc tấn công ngay khi người dùng tương tác.
Kỹ thuật Vượt qua Lớp Bảo mật Email
Điểm khác biệt của chiến dịch này là cách kẻ tấn công ngụy trang khéo léo các giai đoạn đầu để tránh kích hoạt cảnh báo. Chúng dựa vào các dịch vụ web thực tế, có độ tin cậy cao làm vỏ bọc trong toàn bộ chuỗi phân phối.
Nghiên cứu từ Huntress đã xác định chiến dịch này vào tháng 5 năm 2026 sau khi đội ngũ SOC của họ phản hồi một vụ nhiễm trình tải mã độc .NET.
Tệp HTML Độc hại và Cơ chế Chuyển hướng
Trong một báo cáo được chia sẻ, Huntress cho biết cuộc tấn công bắt đầu bằng một email malspam chứa tệp HTML độc hại có tên Bestellung_2026.html. Tên này có nguồn gốc tiếng Đức, nghĩa là “đơn đặt hàng”, cho thấy kẻ tấn công có thể đã nhắm mục tiêu cụ thể vào các doanh nghiệp nói tiếng Đức.
Tệp HTML này chứa một đoạn mã meta-refresh với thời gian 0 giây. Đoạn mã này tự động chuyển hướng trình duyệt của nạn nhân đến một URL theo dõi nhấp chuột của Google DoubleClick tại ad.doubleclick[.]net.
Tận dụng Tên miền Uy tín
Do ad.doubleclick[.]net là một tên miền hợp pháp, thuộc sở hữu của Google và được sử dụng rộng rãi, hầu hết các cổng email và bộ lọc danh tiếng URL không gắn cờ nó. Đến khi nạn nhân truy cập vào hạ tầng do kẻ tấn công kiểm soát, phần đáng ngờ nhất của chuỗi phân phối đã ở phía sau họ.
Tiếp theo là một trang lừa đảo được cá nhân hóa. Trang này đọc thông tin email của nạn nhân từ URL, lấy logo công ty trực tiếp và hiển thị thành phố cùng thời gian địa phương của người xem để tạo sự thuyết phục.
Phân phối Tải trọng Chính
Nạn nhân nhìn thấy một nút tải xuống tệp trông giống như PDF. Tuy nhiên, khi nhấp vào, nó sẽ cung cấp một tệp lưu trữ ZIP chứa tải trọng thực sự thay thế.
Tệp ZIP chứa một tập lệnh JScript đóng vai trò là giai đoạn đầu của một chuỗi tấn công gồm năm bước. Tập lệnh này di chuyển chính nó đến một thư mục ổn định, sau đó giải mã và thả một tập lệnh PowerShell bị làm rối.
Các Lớp Bảo vệ Chống Phân tích
Trình thả PowerShell này kiểm tra xem nạn nhân có trực tuyến hay không. Nếu máy có vẻ ngoại tuyến, nó sẽ buộc khởi động lại thay vì thoát. Nó cũng quét các công cụ phân tích đã biết như Wireshark và any.run. Nếu phát hiện bất kỳ công cụ nào trong số này, nó sẽ khởi động lại máy. Đây là một động thái có chủ đích nhằm gây khó khăn cho các nhà nghiên cứu bảo mật.
Giai đoạn PowerShell sau đó tải xuống một trình tải mã độc .NET từ một máy chủ từ xa. Trình tải này chạy hoàn toàn trong bộ nhớ bằng cách sử dụng kỹ thuật .NET reflection.
Cơ chế Mã độc Fileless
Trình tải này tự tiêm vào các công cụ hệ thống hợp pháp, đã được Microsoft ký, như InstallUtil.exe hoặc MSBuild.exe. Điều này cho phép nó ẩn mình dưới các tiến trình mà chính Windows tin tưởng.
Tại bất kỳ thời điểm nào, tải trọng chính không ghi một tệp độc hại có thể nhận dạng vào đĩa, khiến các công cụ chống vi-rút truyền thống gặp cực kỳ khó khăn trong việc phát hiện.
Sau khi đã nằm trong một tiến trình đáng tin cậy, trình tải mã độc tiến hành vô hiệu hóa các cơ chế phòng vệ tích hợp của Windows. Nó vá cả AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows), hai công cụ thu thập dữ liệu chính mà Windows dựa vào để phát hiện hành vi đáng ngờ, ở cấp độ bộ nhớ gốc.
Các công cụ bảo mật phụ thuộc vào các hệ thống này sẽ ngừng nhận tín hiệu hữu ích trước khi kẻ tấn công thậm chí thiết lập sự tồn tại dai dẳng trên máy.
Thiết lập Sự Tồn tại và Giao tiếp
Trình tải sau đó thiết lập sự tồn tại dai dẳng thông qua các khóa Run trong Registry của Windows và các tác vụ theo lịch. Nó sử dụng tên thư mục theo chủ đề NVIDIA để hòa lẫn với những gì trông giống như hoạt động trình điều khiển thông thường.
Nó giao tiếp với hai máy chủ chỉ huy và kiểm soát (C2) qua một cổng không chuẩn, sử dụng mã hóa AES. Trình tải có khả năng tải xuống các tải trọng bổ sung hoặc thực thi lệnh hoàn toàn từ bộ nhớ.
Khuyến nghị Bảo mật
Huntress khuyến nghị các tổ chức cấu hình một Đối tượng Chính sách Nhóm (Group Policy Object) để buộc các loại tệp tập lệnh như .js, .vbs và .hta mở bằng Notepad theo mặc định thay vì thực thi.
Việc triển khai các biện pháp kiểm soát xác thực email bao gồm SPF, DKIM và DMARC, cùng với một cổng chuyển tiếp có khả năng sandbox các tệp đính kèm trước khi phân phối, có thể ngăn chặn chuỗi tấn công này ngay từ giai đoạn đầu.
Huấn luyện nhận thức về phishing thường xuyên cũng vẫn rất quan trọng, vì lớp người dùng vẫn là điểm truy cập bị khai thác một cách ổn định nhất trong các chiến dịch như thế này.
Chỉ số Tấn công (Indicators of Compromise – IoCs)
- Tệp HTML Độc hại:
Bestellung_2026.html - Tên miền Chuyển hướng Ban đầu:
ad.doubleclick[.]net - Các Lớp Tải trọng: JScript dropper, PowerShell script, .NET fileless loader.
- Các Tiến trình Bị Lạm dụng:
InstallUtil.exe,MSBuild.exe - Kỹ thuật Vô hiệu hóa Bảo vệ: Patching AMSI, Patching ETW
- Cơ chế Tồn tại: Windows Registry Run keys, Scheduled Tasks
- Cổng Giao tiếp C2: Non-standard port
- Phương thức Mã hóa: AES
Lưu ý: Địa chỉ IP và tên miền được làm rối (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ phục hồi định dạng chuẩn trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Chiến dịch malspam này cho thấy sự phát triển liên tục của các kỹ thuật tấn công mạng nhằm vượt qua các biện pháp bảo mật truyền thống. Việc cập nhật các bản vá bảo mật và đào tạo nhận thức là vô cùng cần thiết để đối phó với các mối đe dọa này.
