Tin bảo mật mới nhất ghi nhận một mối đe dọa mạng mới lợi dụng tương tác với AI chatbot để dẫn người dùng đến các trang tải xuống phần mềm độc hại. Chiến dịch này nhắm vào các công cụ hệ thống và tiện ích giám sát phần cứng, đồng thời mở rộng sang cài cắm quyền truy cập từ xa và đào tiền ảo trên máy nạn nhân.
AI Search Result Poisoning Trong Chiến Dịch Cryptojacking
Điểm khác biệt của cảnh báo CVE kiểu này không nằm ở một lỗ hổng phần mềm cụ thể, mà ở cách kẻ tấn công thao túng kết quả do LLM-based AI trả về. Khi người dùng hỏi chatbot về phần mềm nên tải, hệ thống có thể trả lại liên kết tới tên miền do kẻ tấn công kiểm soát. Microsoft mô tả đây là AI search result poisoning, tức biến thể mở rộng của kỹ thuật SEO poisoning truyền thống.
Chiến dịch tập trung vào người dùng đang tìm các tiện ích phổ biến như CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark hoặc K-Lite Codec Pack. Các trang giả mạo được dựng lên để trông hợp pháp và tăng khả năng người dùng tải nhầm gói cài đặt chứa mã độc.
Phạm Vi Và Mục Tiêu
Không phải mọi hệ thống đều là đích đến. Nhóm vận hành chiến dịch ưu tiên máy có GPU hiệu năng cao, vì đây là môi trường phù hợp hơn cho hoạt động cryptojacking. Mục tiêu là khai thác tài nguyên máy để đào tiền ảo, đồng thời giữ quyền truy cập bền vững trên hệ thống bị xâm nhập.
Microsoft cho biết đã phát hiện và chặn hoạt động liên quan sau khi theo dõi chuỗi triển khai của chiến dịch. Báo cáo tham chiếu từ Microsoft Defender Experts và Microsoft Defender Security Research Team có thể xem tại: Microsoft Security Blog.
Chuỗi Lây Nhiễm Và Cơ Chế Hoạt Động
Khi nạn nhân nhấn nút tải xuống trên một trang giả, họ nhận về một file ZIP giả dạng gói phần mềm hợp lệ. Bên trong là DLL độc hại autorun.dll, được kích hoạt khi file thực thi thật được chạy. Đây là bước DLL sideloading điển hình trong tấn công mạng nhắm vào người dùng tải phần mềm từ nguồn không xác thực.
DLL này tiếp tục triển khai một file độc hại khác là vcredist_x64.dll, từ đó cài đặt ScreenConnect để tạo quyền điều khiển từ xa toàn phần trên máy nạn nhân. Sau khi kết nối về máy chủ do kẻ tấn công kiểm soát, chuỗi thực thi chuyển sang giai đoạn duy trì hiện diện và triển khai miner.
Persistence Và Né Phát Hiện
Payload SimpleRunPE.exe tạo các khóa Registry Run và scheduled tasks để duy trì tự khởi chạy sau khi reboot. Đồng thời, nó cấu hình Microsoft Defender exclusions nhằm né phát hiện, rồi sử dụng process hollowing để chạy mã đào tiền ảo trong một binary được Microsoft ký số.
Cơ chế này làm tăng độ ẩn của chiến dịch và giảm khả năng bị phát hiện bởi kiểm tra tiến trình thông thường. Đây là dấu hiệu quan trọng trong các tình huống hệ thống bị tấn công có liên quan đến mã độc ransomware hoặc đánh cắp dữ liệu ở giai đoạn sau, dù trong trường hợp này trọng tâm ban đầu là cryptojacking.
Hành Vi Của Malware Và Công Cụ Được Hỗ Trợ
Malware hỗ trợ ba công cụ đào coin gồm gminer, lolMiner và SRBMiner-MULTI. Ngoài ra, nó theo dõi các công cụ quản trị như Task Manager, Process Hacker và Process Explorer. Khi phát hiện một trong các công cụ này được mở, quá trình đào sẽ tạm dừng ngay để giảm khả năng lộ diện.
Hành vi này là đặc trưng của mối đe dọa có tính thích nghi, ưu tiên tồn tại lâu dài thay vì gây tiếng ồn trên hệ thống. Trong bối cảnh threat intelligence, chuỗi hành vi từ tải xuống giả mạo, DLL sideloading, persistence đến process hollowing là các tín hiệu đáng chú ý để xây dựng quy tắc phát hiện.
Hạ Tầng Và Dấu Hiệu IOC
Hơn 150 tên miền độc hại đã được xác định trong hạ tầng của chiến dịch. Phần lớn được lưu trữ qua một nhà cung cấp DNS động thường gắn với hoạt động đe dọa. Nội dung gốc không liệt kê đầy đủ IP hay domain cụ thể, nên các IOC dưới đây chỉ được trích xuất theo mô tả có sẵn.
- autorun.dll — DLL độc hại được nhúng trong file ZIP giả mạo.
- vcredist_x64.dll — File triển khai ScreenConnect trái phép.
- SimpleRunPE.exe — Binary tạo persistence, exclusion và process hollowing.
- ScreenConnect — Công cụ bị lạm dụng để tạo truy cập từ xa bền vững.
- gminer — Miner được sử dụng trong giai đoạn đào coin.
- lolMiner — Miner được hỗ trợ trong chiến dịch.
- SRBMiner-MULTI — Miner được hỗ trợ trong chiến dịch.
Khuyến Nghị Phát Hiện Và Giảm Thiểu
Để giảm rủi ro bảo mật từ kiểu khai thác zero-day trong tầng người dùng và chuỗi phân phối phần mềm, tổ chức nên bật cloud-delivered protection và chạy EDR in block mode. Hai cấu hình này giúp chặn mối đe dọa ngay cả khi chữ ký antivirus chưa cập nhật kịp.
Cấu hình attack surface reduction rules cũng là lớp phòng vệ quan trọng trước các kỹ thuật DLL sideloading và process injection như trong chiến dịch này. Những thiết lập này nên được coi là cấu hình nền tảng cho an toàn thông tin, không phải tùy chọn bổ sung.
Kiểm Tra Nguồn Tải Phần Mềm
Người dùng và bộ phận vận hành cần xác minh phần mềm chỉ từ website chính thức của nhà cung cấp, kể cả khi liên kết xuất hiện trong câu trả lời của AI chatbot. AI tools có thể hữu ích, nhưng cũng có thể bị thao túng để trả về đường dẫn nguy hiểm. Đây là một dạng nguy cơ bảo mật cần được đưa vào quy trình kiểm tra nguồn tải.
Với các trang tải phần mềm, cần ưu tiên đối chiếu tên miền, chữ ký số, hash file và kiểm tra hành vi sau cài đặt. Trong môi trường doanh nghiệp, các tải xuống không được phê duyệt nên bị cô lập để giảm nguy cơ xâm nhập trái phép và lan rộng trong mạng nội bộ.
Liên Hệ Với Báo Cáo Kỹ Thuật
Các dấu hiệu trong chiến dịch này cho thấy kỹ thuật tấn công đã chuyển từ SEO poisoning sang AI search result poisoning, nhưng mục tiêu cuối cùng vẫn là chiếm quyền điều khiển máy để phục vụ cryptojacking và duy trì hiện diện lâu dài. Điều này khiến cảnh báo CVE theo nghĩa rộng về chuỗi cung ứng tải phần mềm trở nên đáng chú ý trong giám sát bảo mật hiện đại.
Tham khảo thêm nội dung gốc và phân tích liên quan tại nguồn báo cáo của Microsoft: Microsoft Security Blog.
