Các nhóm tấn công đang tận dụng Google Ads để phát tán một loại mã độc loader hoàn toàn mới, ngụy trang dưới dạng trình cài đặt Node.js phổ biến. Chiến dịch này đã tích cực nhắm mục tiêu người dùng Windows tại Hoa Kỳ, âm thầm thả một infostealer nguy hiểm vào máy của họ chỉ sau một cú nhấp chuột vào kết quả tìm kiếm được tài trợ.
Chiến dịch Tấn công qua Google Ads
Cuộc tấn công này khai thác hành vi tìm kiếm phần mềm trực tuyến và tin tưởng vào các kết quả hàng đầu của hàng triệu người dùng. Kẻ tấn công đã thiết lập một trang đích độc hại được thiết kế giống hệt nền tảng Node.js chính thức.
Quy trình Lây nhiễm
Khi nạn nhân nhấp vào quảng cáo được tài trợ, họ sẽ bị chuyển hướng qua một tên miền trung gian để tải xuống một tập lệnh batch độc hại. Tập lệnh này được lưu trữ trên một dịch vụ chia sẻ tệp trên nền tảng đám mây hợp pháp, khiến các công cụ bảo mật khó phát hiện hơn.
Tập lệnh batch tiếp tục bằng cách hiển thị một trình cài đặt phần mềm giả mạo thuyết phục, tạo cảm giác bình thường cho nạn nhân.
Ẩn sau giao diện đó, tập lệnh âm thầm tải xuống tệp thực thi tiếp theo bằng PowerShell và kích hoạt lời nhắc User Account Control (UAC) của Windows để giành quyền truy cập nâng cao vào hệ thống. Toàn bộ trải nghiệm được thiết kế để giống như một quy trình cài đặt phần mềm thông thường.
Biến thể Mã độc
Một biến thể khác của OXLOADER đã được phát hiện, lần này giả dạng thành tệp nhị phân cài đặt Node.js, mặc dù cơ chế loader cơ bản hoàn toàn giống nhau. Tệp này giữ lại từ “node” trong tên tệp của nó, có khả năng để duy trì chủ đề thu hút mà chiến dịch đã sử dụng.
OXLOADER: Mã độc Loader Tinh vi
Các nhà nghiên cứu tại Elastic Security Labs đã xác định chiến dịch này và xác nhận nó đang nhắm mục tiêu vào một trong những khách hàng của họ. Theo báo cáo của Elastic Security Labs, loader này, được theo dõi là OXLOADER, chưa từng được ghi nhận công khai trước đây và hoạt động với tỷ lệ phát hiện thấp đáng kể trên cả các công cụ antivirus tĩnh và môi trường sandbox tự động. Nghiên cứu chi tiết về OXLOADER.
Kỹ thuật Vượt qua Phát hiện
OXLOADER được xây dựng với khả năng né tránh là một tính năng cốt lõi. Trước khi thực thi bất kỳ mã độc nào, nó chạy năm kiểm tra riêng biệt để xác nhận rằng nó không chạy trong sandbox hoặc máy ảo.
Các kiểm tra này bao gồm:
- Yêu cầu ít nhất ba lõi CPU.
- Cần ít nhất 3 GB RAM vật lý.
- Tốc độ làm mới màn hình trên 20 Hz.
- Xác minh hệ thống không nằm trong khu vực CIS hoặc được cấu hình ngôn ngữ tiếng Nga.
Loader cũng sử dụng các kỹ thuật làm rối mã (obfuscation) tinh vi, phá vỡ các công cụ phân tích nhị phân tiêu chuẩn, làm cho việc kỹ thuật đảo ngược (reverse engineering) trở nên chậm chạp và khó khăn.
Ẩn giấu Mã độc trong Bộ nhớ
OXLOADER ẩn mã độc bên trong phần .reloc của Windows, một không gian mà các chương trình hợp pháp không bao giờ sử dụng cho các chỉ thị thực thi. Nó tự giải nén trong bộ nhớ bằng các quy trình giải mã tự sửa đổi.
Tải trọng cuối cùng, CASTLESTEALER, sau đó được phân phối hoàn toàn trong bộ nhớ bằng trình tạo shellcode mã nguồn mở có tên DonutLoader, hầu như không để lại dấu vết trên đĩa.
CASTLESTEALER: Tải trọng Infostealer
Tải trọng cuối cùng được phân phối qua chuỗi tấn công này là một infostealer có tên là CASTLESTEALER. Đây là một phần mềm độc hại dựa trên .NET có khả năng thu thập dữ liệu nhạy cảm từ các hệ thống bị nhiễm.
Các Chỉ số về Sự cố (Indicators of Compromise – IoCs)
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]). Chỉ giải mờ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Tên loader: OXLOADER
- Tên infostealer: CASTLESTEALER
Khuyến nghị Bảo mật
Các nhóm bảo mật nên xem xét kết quả tìm kiếm được tài trợ cho các công cụ dành cho nhà phát triển với sự kiểm tra kỹ lưỡng. Đảm bảo phát hiện hành vi trên điểm cuối được kích hoạt thay vì chỉ ở chế độ giám sát. Luôn xác minh các bản tải xuống phần mềm trực tiếp với các trang web chính thức của nhà cung cấp.
Việc sử dụng Google Ads để phân phối phần mềm độc hại, đặc biệt là ngụy trang thành các công cụ phát triển phổ biến, cho thấy sự tinh vi ngày càng tăng của các chiến dịch tấn công mạng. Các biện pháp phòng ngừa chủ động và nhận thức người dùng là rất quan trọng để giảm thiểu rủi ro.
