Tin tặc đang xây dựng các website giả mạo cực kỳ tinh vi, mạo danh các công cụ bảo mật phổ biến nhằm lừa người dùng tải về mã độc. Thay vì các trang lừa đảo (phishing) dễ nhận biết, những website này gần như giống hệt các cổng dự án thực tế, hoàn chỉnh với thiết kế chuyên nghiệp và các liên kết trỏ đến kho lưu trữ GitHub.
Khi người dùng nhấp vào nút tải xuống, một điều khác thường sẽ diễn ra. Thay vì nhận được phần mềm mong muốn, nạn nhân sẽ được chuyển hướng một cách âm thầm thông qua một lớp lọc lưu lượng ẩn, được gọi là Hệ thống Phân phối Lưu lượng (TDS – Traffic Distribution System).
Chiến dịch Tấn công Mạng Lừa đảo Kỹ thuật cao
Hệ thống TDS hoạt động như một người gác cổng, quyết định người dùng nào sẽ bị chuyển hướng đến mã độc và người dùng nào nhận được một tệp tin vô hại. Nó sàng lọc dựa trên vị trí địa lý, loại trình duyệt, việc sử dụng VPN và khả năng có nhà nghiên cứu bảo mật đang theo dõi. Điều này khiến việc phát hiện và ngăn chặn nó trở nên vô cùng khó khăn.
Phân tích Kỹ thuật và Cơ chế Tấn công
Các nhà phân tích tại Check Point Research đã điều tra chiến dịch quy mô lớn này. Họ phát hiện rằng các website giả mạo tải một tập lệnh JavaScript được lưu trữ trên mạng CloudFront của Amazon.
Tập lệnh này chặn ngay lần nhấp tải xuống đầu tiên và âm thầm chuyển hướng người dùng đến TDS. Toàn bộ quá trình diễn ra mà không có bất kỳ dấu hiệu bất thường nào.
Check Point đã công bố trong một báo cáo rằng hoạt động này nhắm mục tiêu cụ thể vào các công cụ được giới chuyên gia bảo mật tin dùng. Các công cụ này bao gồm Ghidra, dnSpy và SpiderFoot. Chiến dịch đã hoạt động ít nhất từ tháng 12 năm 2025, với việc phân phối mã độc được xác nhận từ đầu tháng 1 năm 2026. Telemetry từ VirusTotal cho thấy hơn 5.000 lượt gửi mẫu liên quan. Các nhà nghiên cứu lưu ý rằng mức độ phơi nhiễm thực tế có thể cao hơn nhiều.
Các Gia đình Mã độc Chính và Ảnh hưởng
Việc các công cụ bị mạo danh được các nhà nghiên cứu bảo mật sử dụng hàng ngày khiến chiến dịch này đặc biệt đáng báo động. Nó nhắm vào chính những người được đào tạo để phát hiện các mối đe dọa này.
Ba gia đình mã độc riêng biệt được sử dụng làm payload cuối cùng. Mỗi loại có chức năng và mục tiêu khác nhau.
RemusStealer: Kẻ Đánh cắp Thông tin Đa nền tảng
RemusStealer là một infostealer mới nổi. Nó nhắm mục tiêu vào dữ liệu từ hơn 20 trình duyệt, bao gồm ví tiền điện tử, trình quản lý mật khẩu và các công cụ xác thực hai yếu tố.
AnimateClipper: Thao túng Clipboard
AnimateClipper âm thầm theo dõi clipboard. Nó thay thế các địa chỉ ví đã sao chép bằng các địa chỉ do kẻ tấn công kiểm soát. Điều này tiềm ẩn nguy cơ chuyển hướng tiền thật mà nạn nhân không hề hay biết.
SessionGate: Mã độc Loader Khó Phân tích
Payload thứ ba, có tên là SessionGate, là một loader đa tầng. Nó sử dụng kỹ thuật che giấu phức tạp và phân phối khóa sử dụng một lần. Điều này làm cho việc phân tích nó trở nên cực kỳ khó khăn đối với các nhà phân tích.
Quy mô và Độ tinh vi của Chiến dịch
Hơn 100 website giả mạo đang hoạt động đã được xác định trong cụm này. Tất cả đều chia sẻ cùng một tập lệnh được lưu trữ trên CloudFront và cùng định danh chiến dịch.
Các trang web như ghidralite[.]com và dnspy[.]org xuất hiện gần đầu kết quả tìm kiếm của Google cho các truy vấn liên quan. Điều này tạo cho chúng một cảm giác tin cậy giả mạo.
Khi người dùng di chuột qua nút tải xuống, thanh trạng thái của trình duyệt thậm chí còn hiển thị một URL GitHub thực. Do đó, ngay cả những người dùng cẩn trọng cũng có thể không nhận thấy bất kỳ điều gì bất thường.
Cơ chế Can thiệp Sự kiện
Tập lệnh JavaScript được tải bởi các trang này lắng nghe tương tác đầu tiên của người dùng. Nó chặn tương tác này trước khi quá trình điều hướng bình thường có thể diễn ra.
Trên trình duyệt Chrome, nó bắt sự kiện mousedown. Trên Firefox, nó sử dụng sự kiện click. Sau đó, nó tạo một URL runtime của TDS, chuyển hướng người dùng một cách âm thầm và hủy bỏ hoàn toàn thao tác điều hướng ban đầu. Nạn nhân cuối cùng sẽ đến một nơi hoàn toàn khác với ý định ban đầu, và toàn bộ quá trình diễn ra một cách vô hình.
Kỹ thuật Che giấu của SessionGate
Trong số tất cả các payload được tìm thấy, SessionGate nổi bật với khả năng chống phân tích mạnh mẽ. Tệp tin được tải xuống ban đầu là một kho lưu trữ 7-Zip có kích thước khoảng 20 MB. Tuy nhiên, tệp thực thi bên trong chỉ có 15 MB, 5 MB còn lại là mã loader bị che giấu. Mã này được thiết kế để phá vỡ các công cụ như decompiler của IDA.
Các hàm có thể vượt quá kích thước 500 KB. Các chuỗi được mã hóa được đặt bên trong các vùng mã để gây nhầm lẫn thêm cho các trình dịch ngược.
Khóa giải mã cho giai đoạn payload cuối cùng được tạo ở phía máy chủ. Nó chỉ được phát hành một lần cho mỗi phiên nạn nhân. Nếu một nhà nghiên cứu cố gắng phát lại chuỗi từ một địa chỉ IP khác, máy chủ sẽ trả về một khóa trông hợp lệ nhưng vô dụng. Điều này làm cho payload hoàn toàn không thể đọc được, tăng cường khả năng che giấu mã độc.
Chỉ dẫn Bảo mật và Phát hiện các Mối đe dọa
Các nhóm an ninh mạng được khuyến cáo mạnh mẽ nên tải phần mềm độc quyền từ các trang dự án chính thức hoặc kho lưu trữ đã được xác minh. Người dùng cần xác minh băm tệp (file hash) sau khi tải xuống. Đồng thời, họ nên chủ động giám sát các kết nối đi đến các tên miền C2 và hạ tầng đã được xác định trong chiến dịch này để phát hiện sớm mã độc.
