Check Point Research (CPR) đã phát hiện một chiến dịch malware tinh vi được đặt tên là mã độc JSCEAL. Chiến dịch này nhắm mục tiêu vào người dùng các ứng dụng giao dịch tiền điện tử thông qua quảng cáo độc hại và các payload JavaScript được biên dịch.
Tổng quan về Chiến dịch Mã độc JSCEAL
Chiến dịch JSCEAL đã hoạt động ít nhất từ tháng 3 năm 2024. Nó liên tục phát triển và tích hợp các kỹ thuật chống phân tích tiên tiến. Điều này bao gồm luồng lây nhiễm theo mô-đun và việc sử dụng Node.js để thực thi các tệp JavaScript biên dịch (JSC) của V8.
Chiến dịch giả mạo gần 50 ứng dụng tiền điện tử phổ biến. Chúng tận dụng quảng cáo độc hại trả phí trên các nền tảng mạng xã hội để phân phối các trình cài đặt giả mạo. Trong nửa đầu năm 2025, các tác nhân đe dọa đã triển khai khoảng 35.000 quảng cáo độc hại. Những quảng cáo này thu hút hàng triệu lượt xem chỉ riêng tại Liên minh Châu Âu. Phạm vi tiếp cận toàn cầu tiềm năng có thể vượt quá 10 triệu người dùng, dựa trên số liệu nhân khẩu học mạng xã hội.
Kỹ thuật Lây nhiễm và Phân phối
Giai đoạn Đầu của Lây nhiễm
Quá trình lây nhiễm bắt đầu bằng quảng cáo độc hại trên các nền tảng như Facebook. Nạn nhân được chuyển hướng qua các tên miền theo các mẫu đặt tên cụ thể. Ví dụ, chúng kết hợp các từ như “app”, “download”, và “pc” dưới các TLD .com. Việc chuyển hướng này dẫn đến các trang đích giả mạo hoặc trang mồi nhử dựa trên bộ lọc IP và referrer.
Cơ chế Phân phối và Cài đặt
Các lần chuyển hướng thành công dẫn đến trình cài đặt MSI. Các trình cài đặt này được ký bằng chứng chỉ hợp lệ từ các thực thể của Nga, được tạo bằng WIX Toolset. Các trình cài đặt này nhúng các DLL tùy chỉnh, ví dụ như TaskScheduler.dll và WMI.dll. Các DLL này thiết lập bộ lắng nghe HTTP trên localhost:30303. Chúng hoạt động phụ thuộc lẫn nhau với các tập lệnh JavaScript trên các trang web giả mạo để thực hiện truy vấn WMI và tạo tác vụ theo lịch trình.
Chức năng Độc hại của Mã độc JSCEAL
Mục tiêu Đánh cắp và Phương pháp
Mã độc JSCEAL tập trung vào việc đánh cắp dữ liệu liên quan đến tiền điện tử. Dữ liệu này bao gồm thông tin đăng nhập, ví, cookie trình duyệt, mật khẩu tự động điền và tài khoản Telegram. Nó sử dụng các kỹ thuật như ghi nhật ký gõ phím (keylogging), chụp ảnh màn hình, tấn công Man-in-the-Browser (MitB), và chặn Man-in-the-Middle (MitM) thông qua các proxy cục bộ và chứng chỉ nhúng được cài đặt bằng certutil.exe.
Khả năng Điều khiển Từ xa (RAT)
Payload của mã độc JSCEAL cũng hoạt động như một Trojan Truy cập Từ xa (RAT). Điều này cho phép thực thi các lệnh PowerShell từ xa và tự động hóa các tương tác web qua Puppeteer. Ngoài ra, nó cũng có thể thực hiện các tác vụ dòng lệnh thông qua WinPTY.
Kỹ thuật Né tránh và Cơ chế Giao tiếp
Đối phó với Phân tích
Phân tích cho thấy sự che giấu mã (obfuscation) rất nặng bằng các công cụ như javascript-obfuscator. Điều này làm phức tạp việc phát hiện tĩnh và dịch ngược. Tuy nhiên, công cụ VIEW8 của CPR hỗ trợ kiểm tra mã bytecode.
Giao tiếp với Máy chủ Điều khiển & Chỉ huy (C2)
Dữ liệu được trích xuất đến các máy chủ Điều khiển và Chỉ huy (C2). Các máy chủ này thường được lưu trữ trên Cloudflare Pages. Chúng có thể triển khai payload JSC cuối cùng trong các kho lưu trữ ZIP. Các kho lưu trữ này chứa môi trường chạy Node.js, tệp app.jsc được nén bằng Brotli, tệp preflight.js để giải nén, và các mô-đun .node gốc. Giao tiếp với C2 sử dụng tRPC qua WebSockets và DNS qua HTTPS để phân giải các tên miền con.
Nếu nạn nhân bị đánh giá là không có giá trị, họ sẽ nhận được các tập lệnh dọn dẹp để loại bỏ các tạo tác. Mặc dù được phân phối rộng rãi, nhiều mẫu đã né tránh được việc phát hiện trên VirusTotal trong thời gian dài do bản chất bytecode của JSC và các cơ chế chống né tránh.
Phân tích Kỹ thuật về Mã độc JSCEAL và Bảo vệ
Thu thập Thông tin Hệ thống
Việc profiling nạn nhân diễn ra thông qua các backdoor PowerShell được kích hoạt bởi các tác vụ theo lịch trình được định nghĩa bằng XML, chạy dưới quyền SYSTEM. Các backdoor này loại trừ PowerShell khỏi các bản quét của Windows Defender và thu thập dấu vân tay máy (machine fingerprints). Các thông tin thu thập bao gồm MachineGuid từ registry, phần mềm đã cài đặt, cài đặt UAC và chi tiết mạng.
Các Chỉ số Thỏa hiệp (IOCs)
Dù không cung cấp danh sách IOC chi tiết, chiến dịch JSCEAL có một số chỉ số đáng chú ý:
- Mẫu tên miền độc hại: Kết hợp các từ như “app”, “download”, “pc” dưới các TLD .com.
- Máy chủ C2: Thường được lưu trữ trên Cloudflare Pages.
- Tên miền con C2: Ví dụ: vertical-scaling[.]com.
- Tên tệp DLL độc hại:
TaskScheduler.dll,WMI.dll. - Cổng lắng nghe nội bộ:
localhost:30303. - Công cụ mã hóa JavaScript:
javascript-obfuscator. - Chứng chỉ ký: Các chứng chỉ hợp lệ từ các thực thể của Nga.
Biện pháp Phòng ngừa và Phát hiện để Bảo vệ An ninh Mạng
CPR ghi nhận sự tương quan của mã độc JSCEAL với các báo cáo trước đây về các hoạt động tương tự, chẳng hạn như WeevilProxy. CPR nhấn mạnh tầm quan trọng của việc giám sát các thực thi Node.js để phòng thủ. Các giải pháp bảo vệ của Check Point bao gồm Threat Emulation và Harmony Endpoint. Chúng phân loại các biến thể này là InfoStealer.Win.JSCeal.A và các dropper liên quan. Việc cập nhật kiến thức về các mối đe dọa và tăng cường an ninh mạng là điều cần thiết để đối phó với nguy cơ rò rỉ dữ liệu từ các chiến dịch như JSCEAL.
Để biết thêm chi tiết kỹ thuật về chiến dịch JSCEAL, bạn có thể tham khảo báo cáo gốc từ Check Point Research tại: JSCEAL Targets Crypto Apps.
