Một chiến dịch tấn công cryptojacking tinh vi đã được phát hiện, lợi dụng tiện ích Character Map (charmap.exe) gốc của Windows để né tránh Windows Defender. Mục tiêu của chiến dịch này là khai thác tiền điện tử một cách bí mật trên các máy tính đã bị xâm nhập.
Được phát hiện lần đầu vào cuối tháng 8 năm 2025, cuộc tấn công này sử dụng các tệp nhị phân hệ thống hợp pháp. Kẻ tấn công tải trực tiếp payload khai thác tiền điện tử vào bộ nhớ. Điều này giúp chúng qua mặt các chữ ký chống virus truyền thống và giảm thiểu các dấu vết pháp y.
Tổng Quan về Chiến Dịch Cryptojacking Tinh Vi
Cryptojacking là gì?
Cryptojacking là hành vi sử dụng trái phép sức mạnh xử lý của máy tính để khai thác tiền điện tử mà không có sự đồng ý của chủ sở hữu. Kẻ tấn công triển khai phần mềm độc hại hoặc script khai thác tiền điện tử. Các công cụ này tiêu tốn chu kỳ CPU hoặc GPU, làm tăng chi phí năng lượng và làm giảm hiệu suất hệ thống của nạn nhân.
Trong khi đó, chúng tạo ra lợi nhuận bất hợp pháp cho những kẻ vận hành. Không giống như các cuộc tấn công mã độc tống tiền (ransomware) đòi thanh toán trực tiếp, cryptojacking âm thầm hút tài nguyên trong thời gian dài. Điều này khiến việc phát hiện xâm nhập khó khăn hơn và quá trình khắc phục cũng chậm hơn.
Chi Tiết Kỹ Thuật về Phương Thức Tấn Công
Chuỗi Khai Thác Ban Đầu và Tải Trọng
Chiến dịch tấn công cryptojacking mới được phát hiện bắt đầu bằng một email lừa đảo spear-phishing. Email này chứa một tệp shortcut độc hại được ngụy trang dưới dạng tệp đính kèm PDF.
Khi được thực thi, shortcut sẽ gọi console Windows PowerShell để tải về một dropper bị xáo trộn, được lưu trữ trên một máy chủ từ xa. Dropper này sau đó ghi hai thành phần payload vào thư mục AppData của người dùng.
Kỹ Thuật Né Tránh Phát Hiện
Bằng cách lợi dụng charmap.exe, phần mềm độc hại tránh khởi chạy một tiến trình không xác định trên ổ đĩa. Điều này giúp nó vượt qua các quy tắc phát hiện dựa trên hành vi của Windows Defender một cách hiệu quả.
Kết hợp địa chỉ IP và cổng đích 152.53.121[.]6:10001 cũng đã được một số nhà cung cấp bảo mật OSINT liên kết với hoạt động khai thác tiền điện tử. Sau khi tiêm mã độc hoàn tất, tiến trình Character Map hợp pháp vẫn tiếp tục chức năng giao diện người dùng bình thường, che giấu luồng độc hại đang chạy miner.
Hệ thống Cyber AI Analyst của Darktrace đã khởi động một cuộc điều tra tự động về hoạt động đang diễn ra. Nó đã liên kết các sự kiện riêng lẻ của cuộc tấn công, bao gồm các kết nối ban đầu liên quan đến script PowerShell cho đến các kết nối cuối cùng đến điểm cuối khai thác tiền điện tử. Thay vì xem các sự kiện có vẻ riêng biệt này một cách cô lập, Cyber AI Analyst đã nhìn thấy bức tranh toàn cảnh, cung cấp khả năng hiển thị toàn diện về cuộc tấn công.
Để biết thêm chi tiết về cách Darktrace phát hiện chiến dịch này, bạn có thể tham khảo bài viết của họ tại From PowerShell to Payload: Darktrace’s Detection of a Novel Cryptomining Malware.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Để duy trì sự tồn tại trên hệ thống, chiến dịch tấn công cryptojacking này tạo một tác vụ đã lên lịch. Tác vụ có tên “WindowsCharMapUpdater” này sẽ khởi chạy lại loader khi người dùng đăng nhập.
Nó cũng thả một tệp DLL vào thư mục dữ liệu ứng dụng cục bộ. Sau đó, nó chiếm quyền kiểm soát tiến trình hợp pháp werfault.exe thông qua kỹ thuật DLL side-loading. Điều này đảm bảo rằng miner sẽ tự động khởi động lại ngay cả sau khi hệ thống khởi động lại hoặc tiến trình bị chấm dứt.
Tác Động và Phạm Vi Nạn Nhân
Các nạn nhân của chiến dịch này rất đa dạng, từ các doanh nghiệp nhỏ đến môi trường doanh nghiệp lớn. Tỷ lệ lây nhiễm cao nhất được ghi nhận trong các lĩnh vực y tế và giáo dục.
Các máy bị nhiễm cho thấy mức độ sử dụng CPU và GPU cao, thường vượt quá 80%. Điều này dẫn đến hiệu suất chậm, quá nhiệt và tăng mức tiêu thụ điện năng. Đối với các tổ chức lớn, việc tăng chi phí năng lượng có thể lên tới hàng ngàn đô la mỗi tháng. Chi phí này chưa kể đến sự gián đoạn hoạt động do hiệu suất máy trạm bị suy giảm.
Khi giá trị tiền điện tử vẫn ở mức cao, kẻ tấn công coi tấn công cryptojacking là một nỗ lực rủi ro thấp, lợi nhuận cao. Bằng cách chiếm quyền kiểm soát các tiện ích Windows đáng tin cậy như Character Map, chúng có thể duy trì hoạt động khai thác một cách lén lút trong nhiều tháng.
Indicators of Compromise (IOCs)
- Địa chỉ IP/Cổng:
152.53.121[.]6:10001(Liên quan đến hoạt động khai thác tiền điện tử) - Tên tác vụ đã lên lịch:
WindowsCharMapUpdater - Tên tiến trình bị lợi dụng:
charmap.exe,werfault.exe
Biện Pháp Phát Hiện và Phòng Ngừa
Các công cụ chống virus dựa trên chữ ký truyền thống gặp khó khăn trong việc phát hiện các kỹ thuật tiêm mã không tệp (fileless injection). Điều này nhấn mạnh sự cần thiết của các biện pháp phòng thủ dựa trên phát hiện bất thường (anomaly-based defenses).
Các nhóm bảo mật được khuyến nghị giám sát các đối số dòng lệnh PowerShell bất thường. Cần chú ý đến các mối quan hệ tiến trình cha-con hiếm gặp liên quan đến charmap.exe và các kết nối ra ngoài đến các tên miền khai thác tiền điện tử đã biết.
# Ví dụ lệnh PowerShell để kiểm tra các tác vụ đã lên lịch liên quan đến CharMap
Get-ScheduledTask | Where-Object {$_.TaskName -like "*CharMap*"}
# Ví dụ lệnh để kiểm tra các tiến trình con của charmap.exe
Get-WmiObject -Query "SELECT * FROM Win32_Process WHERE ParentProcessId IN (SELECT ProcessId FROM Win32_Process WHERE Name='charmap.exe')"
Việc triển khai danh sách cho phép ứng dụng (application-allowlisting) cho các tệp nhị phân hệ thống quan trọng có thể giúp ngăn chặn các cuộc tấn công cryptojacking tương tự. Đồng thời, cần thực thi các chính sách nghiêm ngặt cho các script PowerShell.
Các tổ chức phải liên tục cập nhật khả năng phát hiện để xác định các sai lệch tinh vi so với hành vi hệ thống bình thường. Kết hợp với giám sát điểm cuối toàn diện và chia sẻ thông tin tình báo về mối đe dọa, những biện pháp này có thể giúp các nhóm bảo mật luôn đi trước các mối đe dọa cryptojacking đang phát triển. Điều này nhằm bảo vệ cơ sở hạ tầng quan trọng khỏi hoạt động khai thác trái phép.
Việc cập nhật các bản vá bảo mật định kỳ cho hệ điều hành và các ứng dụng cũng là một phần không thể thiếu trong chiến lược phòng thủ.
