Một chiến dịch mã độc CloudEyE nguy hiểm đã xuất hiện trên khắp Trung và Đông Âu, gây ra lo ngại sâu rộng trong giới chuyên gia an ninh mạng và các tổ chức. CloudEyE, một công cụ tải xuống và mã hóa thuộc mô hình Malware-as-a-Service (MaaS), đã nhanh chóng được các tác nhân đe dọa sử dụng để phân phối các payload mã độc khác.
Trong nửa cuối năm 2025, các nhà nghiên cứu bảo mật đã phát hiện mối đe dọa này ở quy mô đáng báo động. Điều này đánh dấu một sự thay đổi đáng kể trong cách các mã độc hiện đại vận hành và lây lan.
Mối Đe Dọa Tấn Công Mạng Từ Mã Độc CloudEyE
Sự Trỗi Dậy Của Malware-as-a-Service (MaaS)
Sự xuất hiện của mã độc CloudEyE đại diện cho một xu hướng ngày càng tăng. Trong đó, tội phạm mạng thuê cơ sở hạ tầng mã độc thay vì tự phát triển các mối đe dọa độc lập.
Cách tiếp cận này cho phép kẻ tấn công nhắm mục tiêu vào một phạm vi nạn nhân rộng lớn hơn mà không cần nhiều chuyên môn kỹ thuật sâu rộng. CloudEyE hoạt động như một cơ chế phân phối cho các payload nguy hiểm khác.
Các Payload Nguy Hiểm Được Phân Phối
Các payload này bao gồm Rescoms, Formbook và Agent Tesla. Mỗi loại đều có khả năng đánh cắp dữ liệu nhạy cảm hoặc chiếm quyền kiểm soát toàn bộ hệ thống.
- Rescoms: Thường được biết đến là một trojan truy cập từ xa (RAT) hoặc keylogger, cho phép kẻ tấn công thu thập thông tin và kiểm soát từ xa.
- Formbook: Một mã độc đánh cắp thông tin (info-stealer) mạnh mẽ, có khả năng thu thập thông tin đăng nhập, dữ liệu tài chính và các tệp quan trọng từ trình duyệt và ứng dụng.
- Agent Tesla: Tương tự như Formbook, Agent Tesla là một info-stealer được thiết kế để thu thập mật khẩu, thông tin hệ thống và chụp màn hình, thường được phân phối qua các chiến dịch lừa đảo.
Điều làm cho mã độc CloudEyE đặc biệt đáng lo ngại là khả năng che giấu mục đích thực sự của nó. Nó có thể triển khai nhiều thành phần độc hại cùng lúc.
Cơ Chế Lây Nhiễm Phức Tạp của CloudEyE
Kỹ Thuật Che Giấu và Đa Giai Đoạn
Cơ chế lây nhiễm đằng sau CloudEyE tiết lộ các chiến thuật phân phối đa giai đoạn tinh vi. Những chiến thuật này được thiết kế để tránh bị phát hiện.
Giai đoạn ban đầu hoạt động như một trình tải xuống. Nó lây lan thông qua các script PowerShell, tệp JavaScript và trình cài đặt thực thi NSIS. Sau khi được cài đặt trên máy tính nạn nhân, thành phần giai đoạn đầu này sẽ tải xuống giai đoạn tiếp theo của cuộc tấn công.
Giai đoạn thứ hai là một thành phần mã hóa (cryptor). Thành phần này sẽ mã hóa và làm xáo trộn payload cuối cùng trước khi thực thi. Mọi giai đoạn của mã độc CloudEyE đều được làm xáo trộn mạnh mẽ, khiến việc phân tích và phát hiện trở nên cực kỳ khó khăn cho cả các công cụ bảo mật và các nhà nghiên cứu.
Chiến Dịch Lây Lan qua Kỹ Thuật Xã Hội
Các chiến dịch phân phối của mã độc CloudEyE sử dụng kỹ thuật xã hội (social engineering) và xâm nhập các kênh hợp pháp. Mục đích là để tối đa hóa tỷ lệ lây nhiễm.
Hầu hết các nỗ lực tấn công mạng bằng CloudEyE nhắm vào các doanh nghiệp thông qua các chiến dịch email. Những cuộc tấn công này tập trung vào khu vực Trung và Đông Âu trong tháng 9 và 10 năm 2025.
Kẻ tấn công đã tạo ra các thông điệp thuyết phục. Chúng sử dụng các tài khoản doanh nghiệp hợp pháp đã bị chiếm đoạt và tùy chỉnh nội dung. Nội dung được điều chỉnh để phù hợp với ngôn ngữ và bối cảnh văn hóa của các quốc gia mục tiêu.
Các email này thường giả mạo các yêu cầu kinh doanh thông thường. Ví dụ như yêu cầu thanh toán hóa đơn, thông báo theo dõi gói hàng hoặc xác nhận đơn đặt hàng. Điều này làm cho chúng trông hoàn toàn hợp pháp đối với những người nhận không nghi ngờ. Việc phân phối qua email đã bị phát hiện bởi ESET Research, như được chia sẻ trên nền tảng X (trước đây là Twitter): ESET Research on CloudEyE Detections.
Phát Hiện và Tăng Cường An Ninh Mạng
Thống Kê Phát Hiện và Mức Độ Phổ Biến
Các nhà phân tích của ESET Research đã xác định mã độc CloudEyE sau khi phát hiện sự gia tăng lớn trong hoạt động tấn công. Sự gia tăng này diễn ra trong nửa cuối năm 2025.
Các nhà nghiên cứu đã quan sát thấy mức tăng gấp ba mươi lần trong các phát hiện CloudEyE chỉ trong sáu tháng. Tổng cộng có hơn 100.000 lượt phát hiện trên toàn thế giới. Sự gia tăng đáng kể này cho thấy mã độc đã trở thành một công cụ được ưa chuộng. Đặc biệt là trong giới tội phạm mạng hoạt động trên khắp châu Âu và có thể rộng hơn.
Các Biện Pháp Phòng Ngừa Khuyến Nghị
Các tổ chức trên toàn thế giới cần triển khai các biện pháp phòng ngừa mạnh mẽ để chống lại mối đe dọa từ mã độc CloudEyE. Điều này bao gồm:
- Lọc email mạnh mẽ: Triển khai các giải pháp lọc email tiên tiến để phát hiện và chặn các email lừa đảo chứa mã độc trước khi chúng đến hộp thư người dùng.
- Duy trì phần mềm bảo mật hiện hành: Đảm bảo tất cả phần mềm bảo mật, bao gồm phần mềm chống vi-rút, EDR và các giải pháp bảo mật điểm cuối, luôn được cập nhật phiên bản mới nhất. Các bản vá bảo mật và cập nhật định nghĩa mã độc là rất quan trọng.
- Đào tạo nâng cao nhận thức nhân viên: Thực hiện các chương trình đào tạo định kỳ để nhân viên có thể nhận diện các email đáng ngờ. Điều này bao gồm khả năng nhận biết các dấu hiệu của lừa đảo (phishing) và kỹ thuật xã hội.
- Phân tích hành vi và phát hiện bất thường: Sử dụng các hệ thống phát hiện xâm nhập (IDS) và hệ thống thông tin và quản lý sự kiện bảo mật (SIEM) để giám sát hành vi mạng. Mục đích là để phát hiện các hoạt động bất thường hoặc dấu hiệu của việc triển khai mã độc.
Nâng cao nhận thức về sự hiện diện và các chiến thuật của mã độc CloudEyE cung cấp sự bảo vệ quan trọng chống lại mối đe dọa đang leo thang này. Tăng cường an ninh mạng là yếu tố then chốt để bảo vệ dữ liệu và hệ thống.
