DinDoor backdoor đang được phát tán trong một chiến dịch mối đe dọa mạng mới, nhắm vào người sáng tạo nội dung, game thủ và người dùng quan tâm đến AI bằng cách giả mạo các công cụ phổ biến như ChatGPT và Claude. Chiến dịch này dựa trên các trình cài đặt giả, được lưu trữ trên những nền tảng đáng tin cậy, khiến việc phát hiện trở nên khó khăn hơn.
Phân phối DinDoor Qua Trình Cài Đặt Giả
Những kẻ tấn công dùng các trang dự án giả mạo trên GitHub và SourceForge để lôi kéo người dùng thực thi một lệnh trong terminal, với mục đích cài phần mềm hợp pháp. Lệnh này tải về một tệp MSI installer rồi chạy bằng công cụ cài đặt tích hợp của Windows, mở đầu cho chuỗi lây nhiễm.
Trong quá trình này, file MSI sẽ thả thêm một tệp CMD và một script PowerShell lên máy nạn nhân. Script PowerShell cài đặt Deno JavaScript runtime thông qua Scoop và WinGet, sau đó tải và thực thi DinDoor trực tiếp từ máy chủ của kẻ tấn công.
Cơ Chế Lưu Trú Và Điều Khiển
Sau khi được triển khai, DinDoor tạo một Windows registry run key để duy trì khả năng tự khởi động mỗi khi hệ thống boot. Backdoor này sau đó kết nối tới command-and-control server để nhận payload bổ sung và gửi dữ liệu từ hệ thống bị xâm nhập.
Theo báo cáo của Malwarebytes, chuỗi tải này được thiết kế để trông ít đáng ngờ hơn đối với các công cụ bảo mật vì tận dụng các thành phần quản trị hợp lệ của Windows và một runtime phổ biến. Báo cáo gốc có thể tham khảo tại: Malwarebytes Threat Intel.
Kỹ Thuật Ngụy Trang Và Mở Rộng Phạm Vi
DinDoor không chỉ mạo danh ChatGPT và Claude. Chiến dịch còn dùng các tên phần mềm khác như Ableton Live, AutoTune, Kontakt, cùng các trang SourceForge mô phỏng GearUP và một công cụ xóa watermark AI là BWR. Việc mạo danh nhiều thương hiệu giúp tăng khả năng người dùng tin tưởng và tải xuống.
Những trang giả này tận dụng uy tín của các nền tảng lưu trữ mã nguồn và phân phối phần mềm để tăng độ thuyết phục. Khi người dùng sao chép lệnh cài đặt từ trang dự án, họ vô tình kích hoạt toàn bộ chuỗi thả mã độc.
Chuỗi Lây Nhiễm
- Người dùng truy cập kho lưu trữ giả trên GitHub hoặc SourceForge.
- Sao chép lệnh cài đặt vào terminal theo hướng dẫn giả mạo.
- Lệnh tải về tệp MSI và chạy bằng trình cài đặt Windows.
- MSI thả thêm CMD và PowerShell.
- PowerShell cài Deno bằng Scoop hoặc WinGet.
- Deno tải và thực thi DinDoor backdoor từ máy chủ điều khiển.
Khả Năng Của DinDoor Backdoor
Sau khi xâm nhập, DinDoor hoạt động như một RAT đầy đủ chức năng. Nó có thể đánh cắp dữ liệu từ trình duyệt và ví tiền mã hóa, chụp ảnh màn hình, ghi lại clipboard và theo dõi nạn nhân qua luồng video ẩn.
Backdoor này còn hỗ trợ SOCKS5 proxy tunnels, điều khiển máy từ xa bằng cấu hình VNC tùy chỉnh và thực thi lệnh qua PowerShell. Một biến thể nhẹ hơn, được gọi là agent-lite, chuyển lưu lượng qua Cloudflare Workers để tăng mức độ ẩn danh.
Điểm Đáng Chú Ý Trong Hành Vi
- Giao tiếp với C2 server để nhận lệnh và tải thêm payload.
- Ghi dữ liệu từ browser và crypto wallet.
- Chụp màn hình và giám sát clipboard.
- Thiết lập persistence qua registry run key.
- Ẩn hoạt động bằng cách lợi dụng tiến trình Microsoft Edge.
Video Streaming Ẩn Qua Microsoft Edge
Một đặc điểm khác thường của DinDoor là chế độ peer-to-peer video streaming dùng tiến trình Microsoft Edge ẩn. RAT khởi chạy Edge ngầm, chèn một trang web nhỏ vào đó và dùng trang này để phát trực tiếp màn hình nạn nhân tới kẻ điều khiển.
Cách làm này làm giảm sự phụ thuộc vào máy chủ trung gian, khiến việc theo dõi chuỗi điều khiển trở nên phức tạp hơn. Đây là một cơ chế remote code execution theo nghĩa điều khiển từ xa sau khi xâm nhập, kết hợp với giám sát hình ảnh và truy cập tương tác.
Ảnh Hưởng Đối Với Hệ Thống Bị Xâm Nhập
Hệ thống bị xâm nhập có nguy cơ bị theo dõi liên tục, đánh cắp dữ liệu nhạy cảm và lạm dụng thông tin đăng nhập từ trình duyệt, ví tiền mã hóa hoặc clipboard. Việc chèn tiến trình, tạo run key và liên lạc C2 cho thấy mức độ kiểm soát đáng kể đối với máy nạn nhân.
Do chiến dịch nhắm tới các công cụ phần mềm quen thuộc, rủi ro bảo mật tăng cao với người dùng thường xuyên cài đặt phần mềm từ liên kết chia sẻ, repo công khai hoặc các gói “miễn phí” không rõ nguồn gốc. Đây là một cảnh báo CVE theo nghĩa rộng về chuỗi tấn công, dù nội dung gốc không đề cập tới một mã CVE cụ thể.
Chỉ Số IOC
Phần nội dung gốc chỉ ghi chú rằng IOC đã được nêu trong tài liệu gốc, nhưng không liệt kê cụ thể IP, domain hay hash. Vì vậy, không thể trích xuất IOC định danh trực tiếp từ văn bản này.
- IOC khả dụng trong mô tả: Không có danh sách IP, domain, hash hoặc filename cụ thể được cung cấp rõ ràng.
- Đối tượng quan sát: GitHub, SourceForge, MSI installer, CMD file, PowerShell script, Deno runtime, registry run key, C2 server, Microsoft Edge.
Khuyến Nghị Kiểm Tra Và Phát Hiện Xâm Nhập
Người dùng nên chỉ tải phần mềm từ trang chính thức của nhà cung cấp và kiểm tra publisher cùng chữ ký số trong Windows Properties trước khi chạy bất kỳ file nào. Với các chuỗi lây nhiễm kiểu này, phát hiện tấn công sớm thường dựa trên hành vi bất thường của tiến trình cài đặt và script tự động.
Trong môi trường giám sát, có thể theo dõi việc gọi msiexec, khởi tạo PowerShell, thao tác cài Deno, tạo registry run key và kết nối ra ngoài tới C2. Những dấu hiệu này giúp nhận diện hệ thống bị xâm nhập trước khi dữ liệu bị rò rỉ.
Điểm Cần Theo Dõi Trong Log
- Lệnh terminal tải về MSI từ kho chia sẻ công khai.
- Tiến trình msiexec được gọi ngay sau khi chạy script cài đặt.
- PowerShell tải thêm script hoặc runtime từ nguồn ngoài.
- Thay đổi Run key trong Registry để duy trì persistence.
- Kết nối bất thường tới command-and-control server.
Tài Liệu Tham Chiếu
Để đối chiếu thêm về nguồn gốc và cách hoạt động của chiến dịch, có thể tham khảo tài liệu tổng hợp từ nhà nghiên cứu bảo mật và các cơ sở dữ liệu công khai như NVD. Trong trường hợp này, nội dung gốc tập trung vào hành vi phát tán, cơ chế thả mã độc và năng lực của DinDoor backdoor hơn là một mã CVE cụ thể.
