Tin bảo mật mới nhất cho thấy một chiến dịch giả mạo trang tải xuống Microsoft Teams đang được dùng để phát tán ValleyRAT, một remote access trojan có khả năng đánh cắp dữ liệu, ghi nhận phím gõ và chiếm quyền điều khiển máy bị nhiễm. Đây là một mối đe dọa mạng điển hình dựa trên kỹ thuật lừa đảo người dùng tải tệp từ trang giả mạo.
Chuỗi xâm nhập qua trang tải xuống giả mạo
Chiến dịch này xuất hiện từ giữa tháng 4/2026, nhắm vào người dùng tin rằng họ đang tải phần mềm cộng tác hợp lệ. Kẻ tấn công dựng các website sao chép gần như nguyên trạng trang tải Microsoft Teams chính thức, sau đó chia sẻ công khai trên nền tảng X để mở rộng phạm vi tiếp cận ban đầu.
Người truy cập sẽ thấy nút tải xuống trông hợp lệ, nhưng liên kết thực tế dẫn đến một file zip chứa bộ cài đã bị vũ khí hóa. Các tên miền quan sát được gồm teams-securecall[.]com và teamszs[.]com.
Cơ chế phát tán ValleyRAT
Sau khi người dùng giải nén và chạy file, trình cài đặt dựa trên NSIS sẽ âm thầm thả nhiều thành phần xuống hệ thống, thay vì cài đặt phần mềm như mong đợi. Trong chuỗi này, tải trọng độc hại tận dụng DLL sideloading thông qua một file thực thi hợp lệ của Tencent là GameBox.exe.
Thành phần chính gồm một loader, thư viện độc hại utility.dll và các file hỗ trợ khác. Một bản sao Microsoft Teams hợp lệ cũng được cài đặt song song, kèm shortcut trên desktop để giảm khả năng bị nghi ngờ.
Phân tích kỹ thuật chuỗi thực thi
Nhóm nghiên cứu K7 Security Labs cho biết payload cốt lõi là file user.dat, được lưu dưới dạng mã hóa AES và giải mã hoàn toàn trong bộ nhớ khi chạy. Mã độc không ghi bản cuối cùng xuống đĩa, giúp giảm dấu vết trên hệ thống.
ValleyRAT được nạp bằng shellcode injection trực tiếp vào tiến trình đang chạy. Đồng thời, mã độc dùng API hashing để phân giải hàm Windows động, làm giảm hiệu quả của một số công cụ phát hiện dựa trên chuỗi API rõ ràng.
Third-stage payload được tải trực tiếp từ máy chủ C2 ở định dạng mã hóa XOR và giải mã trong bộ nhớ. Thiết kế này cho phép thay đổi tải trọng linh hoạt mà không cần sửa toàn bộ chuỗi lây nhiễm.
Hành vi né tránh và duy trì tồn tại
Để ẩn mình, malware chạy các lệnh PowerShell nhằm sửa cấu hình Windows Defender, thêm ngoại lệ cho thư mục làm việc và file DLL độc hại. Nó cũng thay đổi thuộc tính hệ thống để che giấu các file đã sao chép khỏi kiểm tra thông thường.
Một service có tên _CCGDAT được tạo để đảm bảo mã độc tự khởi động lại sau mỗi lần boot. Đây là cơ chế bám trụ rõ ràng trong chuỗi xâm nhập của ValleyRAT.
Ảnh hưởng hệ thống của ValleyRAT
Sau khi hoạt động, ValleyRAT theo dõi clipboard theo thời gian thực bằng lời gọi Windows API, tập trung vào dữ liệu nhạy cảm như mật khẩu đã sao chép, địa chỉ ví tiền mã hóa và thông tin riêng tư khác. Mã độc cũng ghi lại thao tác bàn phím và lưu dữ liệu cục bộ trước khi gửi về command and control server.
Với quyền điều khiển từ xa, hệ thống bị nhiễm có thể bị theo dõi liên tục, trích xuất dữ liệu và phục vụ cho các bước hậu khai thác khác. Đây là dạng remote code execution và chiếm quyền điều khiển ở tầng sau xâm nhập, mặc dù chiến dịch không được mô tả như một lỗ hổng CVE cụ thể.
IOC liên quan đến chiến dịch
Các IOC dưới đây được trích xuất từ nội dung phân tích. IP và domain đã được giữ ở dạng defanged theo nguồn gốc ban đầu.
- teams-securecall[.]com
- teamszs[.]com
- utility.dll
- user.dat
- GameBox.exe
- _CCGDAT
Nhận diện và phát hiện xâm nhập
Chiến dịch này cho thấy rủi ro bảo mật tăng mạnh khi người dùng tải phần mềm từ nguồn không chính thức. Một số chỉ dấu kỹ thuật đáng chú ý gồm chuỗi NSIS installer, hành vi DLL sideloading, thay đổi Windows Defender qua PowerShell và tạo service lạ để duy trì tồn tại.
Trong môi trường doanh nghiệp, phát hiện xâm nhập nên tập trung vào tiến trình PowerShell bất thường, file DLL ngoài dự kiến, hành vi ghi phím và kết nối C2 không phù hợp với ứng dụng cộng tác hợp lệ. Thông tin phân tích chi tiết có thể đối chiếu thêm tại NVD và báo cáo gốc của K7 Security Labs.
Điểm cần theo dõi trong telemetry
- Tiến trình PowerShell sửa cấu hình Defender.
- Xuất hiện service mới có tên _CCGDAT.
- Thực thi từ bộ cài NSIS kèm DLL lạ.
- Kết nối đến hạ tầng C2 sau giai đoạn giải mã trong bộ nhớ.
- Hoạt động ghi phím và truy cập clipboard trái với hành vi người dùng bình thường.
Biện pháp giảm thiểu
Người dùng cần tải phần mềm trực tiếp từ website chính thức của nhà cung cấp và tránh liên kết chia sẻ trên mạng xã hội. Với an toàn thông tin ở cấp tổ chức, nên áp dụng application allowlisting, giám sát PowerShell bất thường và cập nhật công cụ EDR để bắt các hành vi dựa trên mẫu hành vi thay vì chỉ dựa vào chữ ký.
Việc kiểm tra chữ ký số của installer trước khi chạy cũng giúp giảm nguy cơ thực thi gói cài bị chèn mã độc. Các thiết bị cần được theo dõi để phát hiện file thực thi hợp lệ bị lạm dụng cho DLL sideloading hoặc các chuỗi tải trọng nhiều tầng.
Khuyến nghị kiểm tra trên endpoint
Get-MpPreference | Select-Object ExclusionPath, ExclusionExtension, ExclusionProcess
Get-CimInstance Win32_Service | Where-Object { $_.Name -eq '_CCGDAT' }
Get-Process | Where-Object { $_.Path -match 'GameBox\.exe|Teams' }
Liên hệ với threat intelligence
Các phân tích hiện có cho thấy chiến dịch được tổ chức theo nhiều tầng, kết hợp lừa đảo, installer vũ khí hóa, DLL sideloading và tải payload động từ C2. Đây là mẫu hình thường gặp trong các mối đe dọa mạng nhắm vào người dùng cuối, nơi một file tải xuống hợp lệ bề ngoài lại dẫn đến hệ thống bị cài trojan hoàn chỉnh.
Vì payload thứ ba được lấy trực tiếp từ C2 và giải mã trong bộ nhớ, việc chặn một thành phần riêng lẻ chưa đủ để vô hiệu hóa toàn bộ chuỗi. Trong bối cảnh này, phát hiện tấn công cần kết hợp telemetry tiến trình, service, PowerShell, hành vi ghi phím và network IOC để dựng lại chuỗi lây nhiễm.
