Malware đang âm thầm rút tiền mã hóa từ người dùng trên nhiều khu vực bằng một chuỗi lây nhiễm nhiều giai đoạn, trong đó CountLoader đóng vai trò trình nạp và crypto clipper là payload cuối cùng. Chiến dịch này được thiết kế để ẩn mình, tránh phát hiện và duy trì quyền thực thi trên hệ thống trong thời gian dài.
Chuỗi lây nhiễm của CountLoader
Nghiên cứu cho thấy chiến dịch không dựa vào một kỹ thuật đơn lẻ. Điểm khởi đầu là một file EXE độc hại thực thi lệnh PowerShell, sau đó tải xuống một loader JavaScript bị làm rối và chạy thông qua mshta.exe. Đây là tiện ích hợp pháp của Windows thường bị lạm dụng vì hệ điều hành mặc định tin cậy tiến trình này.
Cách triển khai này giúp malware hòa lẫn vào hoạt động bình thường của hệ thống, làm chậm quá trình phát hiện và phản ứng của công cụ bảo vệ. Trong chuỗi này, CountLoader phối hợp nhiều lớp gồm JavaScript, PowerShell và shellcode để tải payload tiếp theo.
Giai đoạn PowerShell và thực thi ẩn
PowerShell script giải mã payload Base64 và thực thi bằng Invoke-Expression, cho phép chạy mã ẩn mà không ghi trực tiếp xuống đĩa. Kỹ thuật này làm tăng độ khó cho quá trình phát hiện xâm nhập, đặc biệt khi chuỗi thực thi tận dụng các binary hợp pháp của Windows.
powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "Invoke-Expression ([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($b64)))"Trong giai đoạn sau, một PowerShell packer giải mã và khởi chạy shellcode injector. Trước khi tiêm mã, script vô hiệu hóa AMSI, một cơ chế của Windows dùng để phát hiện script độc hại, bằng một public bypass đã được biết đến.
Hành vi của payload cuối cùng
Payload cuối cùng được nạp trực tiếp vào bộ nhớ dưới tiến trình systeminfo.exe, không chạm vào ổ đĩa. Mô hình chạy trong bộ nhớ này làm giảm đáng kể khả năng bị giám sát bởi các công cụ dựa trên file và tạo ra một dạng remote code execution nội bộ trên máy nạn nhân.
Khi đã hoạt động, crypto clipper theo dõi clipboard ở nền. Ngay khi người dùng sao chép địa chỉ ví, malware thay thế bằng địa chỉ do kẻ tấn công kiểm soát, khiến giao dịch bị chuyển hướng mà không có cảnh báo hiển thị.
Payload cũng hỗ trợ nhiều định dạng tiền mã hóa, cho phép thay thế địa chỉ của Bitcoin, Ethereum và các ví khác. Đây là điểm khiến chiến dịch có thể gây rò rỉ dữ liệu nhạy cảm theo nghĩa địa chỉ ví bị thay đổi trong luồng giao dịch.
Kỹ thuật duy trì và né tránh
Sau khi file EXE đầu tiên chạy, một scheduled task được tạo để kích hoạt mỗi 30 phút, giúp duy trì tính bền vững trên máy bị nhiễm. Đây là cơ chế persistence quan trọng trong chuỗi tấn công mạng này.
CountLoader còn được ghi nhận là mở cửa sổ ẩn, cố xóa chính file của nó nếu được chạy cục bộ, và liên tục chuyển sang các máy chủ điều khiển khác cho đến khi có phản hồi. Ở bước kết nối, nó thực hiện một encrypted handshake, lấy JWT token và gửi thông tin hệ thống quay lại hạ tầng điều khiển, bao gồm cả các tiện ích ví tiền mã hóa hoặc extension trình duyệt đã cài đặt.
Để tránh bị phát hiện, malware sử dụng kỹ thuật EtherHiding để lấy địa chỉ máy chủ điều khiển từ Ethereum blockchain thay vì hard-code domain. Cách này làm giảm hiệu quả của việc chặn một điểm trung tâm duy nhất.
Phát tán qua USB
Ngoài kênh phân phối qua Internet, chiến dịch còn lây lan qua USB drives. Khi nhận lệnh từ máy chủ điều khiển, CountLoader thay thế các file trên ổ ngoài bằng LNK shortcut files.
Khi người dùng mở shortcut, malware chạy âm thầm đồng thời mở file gốc, khiến hành vi bất thường khó bị nhận ra. Đây là một biến thể phát tán đáng chú ý vì tận dụng thao tác người dùng trên thiết bị lưu trữ rời.
Quy mô ảnh hưởng hệ thống
Nhóm nghiên cứu cho biết chiến dịch đã ảnh hưởng khoảng 86.000 máy bị nhiễm. Trung bình có khoảng 5.000 hệ thống kết nối tới hạ tầng command-and-control mỗi phút.
Số lượng nhiễm đáng kể cho thấy đây là một mối đe dọa mạng quy mô lớn, không chỉ ảnh hưởng tới một nhóm nhỏ endpoint. Dữ liệu thu thập từ hạ tầng điều khiển cho thấy sự phân bố lây nhiễm rộng và nhịp độ liên lạc cao giữa máy nhiễm và server.
IOCs quan sát được
Dữ liệu gốc không cung cấp danh sách IOC ở dạng IP, domain hay hash cụ thể. Chỉ có mô tả về các thành phần hành vi và kỹ thuật sau:
- EXE khởi tạo chuỗi lây nhiễm.
- PowerShell tải và giải mã payload.
- mshta.exe được dùng để thực thi JavaScript/HTA.
- systeminfo.exe là tiến trình chứa payload cuối cùng.
- Scheduled task chạy mỗi 30 phút.
- LNK trên USB dùng để phát tán thêm.
- EtherHiding lấy máy chủ điều khiển từ blockchain.
Khuyến nghị giám sát và phát hiện xâm nhập
Giám sát các tiến trình Windows bị lạm dụng như mshta.exe, systeminfo.exe và chuỗi cha-con bất thường từ file EXE sang PowerShell là điểm kiểm tra quan trọng. Việc theo dõi scheduled task mới tạo và các script có hành vi giải mã Base64 cũng giúp tăng khả năng phát hiện tấn công.
Nên theo dõi hoạt động clipboard trên các máy xử lý giao dịch tiền mã hóa, vì đây là dấu hiệu trực tiếp của crypto clipper. Trên lớp kiểm soát endpoint, việc nhận diện các lệnh như Invoke-Expression và các chuỗi gọi AMSI bypass là cần thiết để giảm rủi ro bảo mật.
Tham khảo thêm mô tả kỹ thuật liên quan tại NVD và báo cáo nghiên cứu được trích dẫn từ McAfee Labs.
Các điểm cần theo dõi trên Windows
- Tiến trình mshta.exe khởi chạy từ nguồn không tin cậy.
- Lệnh PowerShell có tham số ẩn hoặc chuỗi Base64.
- Task Scheduler tạo tác vụ mới với chu kỳ 30 phút.
- Tiến trình systeminfo.exe có hành vi bất thường về bộ nhớ.
- Thao tác sao chép địa chỉ ví bị thay đổi trong clipboard.
- Thiết bị USB xuất hiện file LNK thay cho file gốc.
Giảm thiểu rủi ro bảo mật
Không chạy file EXE từ nguồn không tin cậy và luôn kiểm tra kỹ ổ USB trước khi mở nội dung. Với môi trường có giao dịch tiền mã hóa, cần xác minh địa chỉ ví trước khi gửi để tránh bị thay thế bởi crypto clipper.
Việc cập nhật công cụ bảo vệ, giám sát persistence bất thường và kiểm tra hoạt động của các tiến trình Windows hợp pháp bị lạm dụng là các bước then chốt để giảm thiểu nguy cơ bảo mật từ chiến dịch này.
