Tấn công mạng tinh vi đang lợi dụng các truy vấn phần mềm phổ biến để nhắm vào người dùng, biến các tìm kiếm hàng ngày thành một cái bẫy nguy hiểm. Một chiến dịch cryptojacking phức tạp đã được phát hiện, lôi kéo người dùng tải về các tệp tin chứa mã độc, sau đó bí mật khai thác tiền điện tử bằng sức mạnh GPU của chính nạn nhân.
Chiến dịch Tấn công Lợi dụng Kết quả Tìm kiếm
Kẻ tấn công đã thiết lập một mạng lưới hơn 150 trang web tải xuống giả mạo, được thiết kế để mô phỏng gần giống các cổng thông tin tiện ích đáng tin cậy. Các trang web này giả mạo các chương trình nổi tiếng như CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack và PDFgear. Bất kỳ ai truy cập vào một trong những trang này và nhấp vào nút tải xuống sẽ nhận được một tệp lưu trữ ZIP. Tệp này chứa cả phần mềm hợp pháp và một tệp độc hại ẩn.
Các nhà phân tích từ Microsoft Defender Experts và nhóm Nghiên cứu Bảo mật Microsoft Defender đã công bố phát hiện của họ vào cuối tháng 5 năm 2026. Họ chỉ ra rằng chiến dịch này nhắm mục tiêu có chủ đích vào những người dùng có khả năng sở hữu card đồ họa hiệu năng cao, bao gồm các game thủ, người đam mê phần cứng và nhà phát triển AI. Chiến lược này tập trung vào việc xâm nhập ít máy hơn nhưng tối đa hóa giá trị khai thác tiền điện tử từ mỗi hệ thống bị ảnh hưởng.
Tận dụng Chatbot AI
Điều đáng lo ngại là chiến dịch này đã bắt đầu tiếp cận nạn nhân thông qua các phản hồi từ chatbot AI. Vào tháng 4 năm 2026, các nhà nghiên cứu đã quan sát thấy người dùng nhận được các liên kết đến các tên miền do kẻ tấn công kiểm soát trực tiếp từ các đề xuất của chatbot AI khi yêu cầu gợi ý tải phần mềm. Điều này đánh dấu một sự chuyển dịch đáng lo ngại, vượt ra ngoài việc thao túng công cụ tìm kiếm truyền thống sang một không gian mà nhiều người dùng tin tưởng hơn.
Cơ chế Hoạt động và Mã độc
Cuộc tấn công bắt đầu ngay khi người dùng tải xuống và chạy một trình cài đặt tiện ích trông có vẻ hợp pháp. Tệp ZIP chứa ứng dụng thực tế cùng với một tệp độc hại có tên autorun.dll. Tệp này sẽ tự động tải khi chương trình hợp pháp khởi chạy, sử dụng một kỹ thuật gọi là DLL sideloading. Phương pháp này không yêu cầu khai thác lỗ hổng phần mềm và thường không để lại dấu vết rõ ràng trên màn hình.
Sau khi autorun.dll hoạt động, nó sẽ thả một tệp độc hại thứ hai có tên vcredist_x64.dll bằng cách sử dụng Windows Installer. Tệp này đóng vai trò là trình cài đặt được đóng gói cho ScreenConnect, một công cụ truy cập từ xa.
Thiết lập Quyền truy cập Từ xa và Khai thác GPU
Sau khi ScreenConnect được cài đặt, máy bị nhiễm sẽ kết nối đến một máy chủ do kẻ tấn công kiểm soát tại 193.42.11[.]108. Thông qua kênh truy cập từ xa này, kẻ tấn công đẩy một tệp thực thi có tên SimpleRunPE.exe vào hệ thống nạn nhân. SimpleRunPE.exe chịu trách nhiệm chính, thiết lập sự tồn tại dai dẳng bằng cách sử dụng các khóa Registry Run và các tác vụ theo lịch trình. Nó cũng điều chỉnh các loại trừ của công cụ bảo mật để tránh bị phát hiện và sử dụng kỹ thuật process hollowing để tiêm mã khai thác tiền điện tử vào một tệp nhị phân đã được Microsoft ký.
Ba loại trình khai thác GPU có thể được triển khai tùy thuộc vào cấu hình: gminer, lolMiner và SRBMiner-MULTI. Mã độc này cũng theo dõi các công cụ phân tích như Windows Task Manager, Process Hacker và Process Explorer. Ngay khi phát hiện bất kỳ công cụ nào trong số này đang chạy, nó sẽ tạm dừng ngay lập tức việc khai thác để tránh bị nghi ngờ. Khi các công cụ đó đóng lại, quá trình khai thác sẽ tiếp tục âm thầm ở chế độ nền.
Mối đe dọa Tồn tại và Khai thác Tới hạn
Việc chiến dịch sử dụng ScreenConnect biến mỗi máy bị xâm nhập thành một điểm truy cập lâu dài. Ngay cả khi phần mềm khai thác bị phát hiện và gỡ bỏ, cửa hậu ScreenConnect vẫn có thể hoạt động, cho phép kẻ tấn công quay trở lại. Điều này mở ra cánh cửa cho các hoạt động theo dõi có hại hơn nhiều, bao gồm cả việc đánh cắp dữ liệu, di chuyển ngang trong mạng doanh nghiệp và thậm chí là triển khai ransomware.
Bên cạnh mục tiêu tài chính từ việc khai thác tiền điện tử, kẻ tấn công còn cài đặt ScreenConnect trên các máy bị xâm nhập để duy trì quyền truy cập từ xa dai dẳng. Cuộc tấn công này vẫn đang hoạt động và phạm vi ảnh hưởng của nó không ngừng gia tăng, cho thấy đây là một mối đe dọa dai dẳng cần được chú ý.
Khuyến nghị Bảo mật và Phòng chống
Giám sát và Phát hiện
Các nhóm bảo mật nên tích cực tìm kiếm các phiên và cài đặt ScreenConnect trái phép không được IT phê duyệt. Microsoft khuyến nghị giám sát các đỉnh sử dụng GPU bất thường trên máy tính để bàn và máy chủ như một dấu hiệu sớm của hoạt động khai thác trái phép. Việc liên kết dữ liệu giới thiệu web (web referrer data) và dữ liệu đo lường điểm cuối (endpoint telemetry) có thể giúp các nhóm kết nối các sự kiện nhanh hơn khi điều tra cảnh báo.
Các nhà phòng thủ nên thiết lập cảnh báo cho các tệp như SimpleRunPE.exe và theo dõi các tệp DLL có tên autorun.dll hoặc vcredist_x64.dll xuất hiện ở các thư mục không mong muốn. Việc chặn các tên miền độc hại đã biết và giám sát lưu lượng DNS cho các tên miền phụ của gleeze[.]com có thể giúp cắt đứt cơ sở hạ tầng phân phối của chiến dịch trước khi tải xuống xảy ra.
Biện pháp Bảo vệ Người dùng
Người dùng chỉ nên tải phần mềm trực tiếp từ các trang web chính thức của nhà cung cấp. Cần coi bất kỳ liên kết nào được gợi ý bởi công cụ AI với mức độ hoài nghi tương tự như các kết quả tìm kiếm thông thường. Đảm bảo hệ thống luôn được cập nhật các bản vá bảo mật mới nhất cũng là một bước quan trọng trong việc giảm thiểu rủi ro bị tấn công.
Chỉ số Nhận diện Tấn công (IoCs)
Các Chỉ số Nhận diện Tấn công (IoCs) được cung cấp giúp các chuyên gia bảo mật xác định và ứng phó với chiến dịch này. Dưới đây là các IoCs đã được ghi nhận:
- IP Address: 193.42.11[.]108
- Domains: gleeze[.]com
- Malicious DLLs: autorun.dll, vcredist_x64.dll
- Malicious Executable: SimpleRunPE.exe
- Miner Executables: gminer, lolMiner, SRBMiner-MULTI
- Backdoor/Remote Access Tool: ScreenConnect
Lưu ý: Địa chỉ IP và tên miền được cố tình làm mất hiệu lực (ví dụ: [.] thay cho dấu chấm) để ngăn chặn việc phân giải hoặc liên kết tự động. Chỉ phục hồi lại định dạng chuẩn trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Tham khảo chi tiết hơn về chiến dịch này tại báo cáo của Microsoft: Microsoft Security Blog.
