Phân Tích Blitz Malware: Mối Đe Dọa Đào Monero Trên Máy Chủ Windows

10/06/2025
2 mins read
Nội dung
Phân Tích Blitz Malware: Mối Đe Dọa Mới Nhắm Đến Máy Chủ Windows để Triển Khai Monero Miner
Tổng Quan Về Blitz Malware
Phương Thức Lây Nhiễm
Chức Năng Của Malware
Cơ Chế Điều Khiển và Kiểm Soát (C2)
Thông Tin Về Indicators of Compromise (IOCs)
Kết Luận

Phân Tích Blitz Malware: Mối Đe Dọa Mới Nhắm Đến Máy Chủ Windows để Triển Khai Monero Miner

Một mối đe dọa mới có tên Blitz Malware đã được phát hiện, nhắm đến các hệ thống Windows thông qua các gói cheat game lừa đảo. Malware này không chỉ đánh cắp thông tin mà còn triển khai công cụ đào tiền mã hóa Monero, gây ảnh hưởng nghiêm trọng đến hiệu suất hệ thống. Bài viết này sẽ phân tích chi tiết về cách thức hoạt động, phương thức lây nhiễm và các đặc điểm kỹ thuật của Blitz Malware.

Tổng Quan Về Blitz Malware

  • Loại: Malware dựa trên nền tảng Windows.
  • Giai đoạn hoạt động: Blitz Malware hoạt động theo hai giai đoạn chính:
    • Giai đoạn 1: Blitz Downloader – thành phần tải về phần mềm độc hại.
    • Giai đoạn 2: Blitz Bot – thành phần điều khiển và thực hiện các hành vi độc hại.

Phương Thức Lây Nhiễm

  • Phân phối: Blitz Malware được phát tán thông qua các gói cheat game lừa đảo, thường dưới dạng file nén ZIP với tên gọi như Elysium_CrackBy@sw1zzx_dev.zipNerest_CrackBy@sw1zzx_dev.zip.
  • Nhiễm ban đầu: Khi người dùng chạy file thực thi Windows EXE từ các file ZIP này, Blitz Downloader sẽ được âm thầm tải về và cài đặt Blitz Bot ở chế độ nền, không để lại dấu vết rõ ràng cho người dùng.

Chức Năng Của Malware

  • Blitz Bot: Thành phần này cho phép kẻ tấn công điều khiển máy chủ Windows bị nhiễm. Nó thực hiện các chức năng đánh cắp thông tin như ghi lại thao tác bàn phím (keylogging) và chụp ảnh màn hình (screenshot capture). Ngoài ra, Blitz Bot còn có khả năng thực hiện tấn công từ chối dịch vụ (DoS) nhắm vào các máy chủ web.
  • Monero Miner: Malware triển khai một công cụ đào tiền mã hóa Monero, chiếm dụng tài nguyên hệ thống của nạn nhân để phục vụ quá trình đào, gây ảnh hưởng nghiêm trọng đến hiệu suất máy tính.

Cơ Chế Điều Khiển và Kiểm Soát (C2)

  • Hugging Face Spaces: Blitz Malware lợi dụng nền tảng Hugging Face Spaces – một kho lưu trữ mã nguồn chuyên về các ứng dụng AI – để thực hiện hoạt động Command and Control (C2). Cả Blitz Downloader và Blitz Bot đều liên lạc với một Space trên Hugging Face để tải về phần mềm độc hại và nhận dữ liệu điều khiển từ kẻ tấn công.

Thông Tin Về Indicators of Compromise (IOCs)

Dưới đây là các IOCs liên quan đến chiến dịch phát tán Blitz Malware, giúp các tổ chức và chuyên viên bảo mật phát hiện và ngăn chặn mối đe dọa này:

  • Tên file ZIP độc hại:
    • Elysium_CrackBy@sw1zzx_dev.zip
    • Nerest_CrackBy@sw1zzx_dev.zip
  • Kênh phân phối: Telegram channel với tên @sw1zzx_dev.

Kết Luận

Blitz Malware là một mối đe dọa phức tạp trên nền tảng Windows, nhắm vào người dùng thông qua các gói cheat game lừa đảo. Với khả năng đánh cắp thông tin, thực hiện tấn công DoS và triển khai công cụ đào tiền mã hóa Monero, malware này gây ra rủi ro nghiêm trọng đối với người dùng và hệ thống. Việc lợi dụng cơ sở hạ tầng hợp pháp như Hugging Face Spaces làm nền tảng C2 cho thấy sự tinh vi của kẻ tấn công trong việc che giấu hành vi độc hại. Các chuyên viên bảo mật và quản trị hệ thống cần cảnh giác với các file tải về không rõ nguồn gốc, đặc biệt là từ các kênh không đáng tin cậy như Telegram.