Bóc Trần Chiến Dịch Dùng Web Giả Mạo Công Cụ Bảo Mật Để 'Cướp' Click và Phát Tán Mã Độc

Sự đánh lừa về mặt kỹ thuật được kích hoạt khi người dùng tương tác. Khi nạn nhân nhấp vào nút "tải xuống" trên một trong những trang web này, một lớp JavaScript được lưu trữ trên CloudFront sẽ chuyển đổi cú nhấp đầu tiên đó thành một lệnh chuyển hướng. Thao tác này 'cướp' người dùng vào cơ sở hạ tầng TDS của chiến dịch .

Hệ Thống Phân Phối Lưu Lượng Có Kiểm Soát (TDS): Sàng Lọc Nạn Nhân Có Giá Trị Cao

TDS hoạt động như một 'người gác cổng' tinh vi, chứ không đơn thuần là một công cụ chuyển hướng. Phân tích của Check Point tiết lộ rằng nó áp dụng biện pháp chống phân tích và lọc đa lớp để phân biệt nạn nhân thật với các nhà nghiên cứu bảo mật, môi trường sandbox và các trình thu thập dữ liệu tự động. Chỉ những người dùng vượt qua được các bài kiểm tra này mới bị chuyển hướng đến payload mã độc cuối cùng . Phương thức phân phối có chọn lọc này khiến chiến dịch khó bị vạch trần hơn và làm tăng giá trị của mỗi ca lây nhiễm thành công đối với những kẻ vận hành. Để trốn tránh sự phát hiện tốt hơn, hệ thống sử dụng các kỹ thuật như khóa phiên (per-session keys) và giải phóng khóa một lần (one-time key releases) .

Bộ Ba Mã Độc: RemusStealer, AnimateClipper, và SessionGate

Chiến dịch này đã được ghi nhận là đã phân phối ba dòng mã độc riêng biệt, mỗi loại phục vụ một mục đích kiếm tiền khác nhau.

• RemusStealer: Đây là một công cụ đánh cắp thông tin (infostealer) dạng Dịch vụ Mã độc (MaaS) dựa trên thuê bao, được quảng cáo với giá từ 250 đến 500 USD. Nó nhắm mục tiêu vào một lượng lớn dữ liệu nhạy cảm, bao gồm thông tin đăng nhập từ hơn 20 trình duyệt, dữ liệu từ hơn 220 tiện ích mở rộng ví tiền mã hóa, trình quản lý mật khẩu và các công cụ xác thực hai yếu tố (2FA) .
• AnimateClipper: Một công cụ cắt (clipper) tiền mã hóa được thiết kế để chiếm đoạt giao dịch theo thời gian thực bằng cách hoán đổi địa chỉ ví mà người dùng sao chép thành địa chỉ do kẻ tấn công kiểm soát. Nó có khả năng giám sát và chặn bắt các giao dịch trên hơn 20 hệ sinh thái blockchain khác nhau .
• SessionGate: Khung phần mềm chưa từng được ghi nhận này là một trình tải (loader) đa giai đoạn, sử dụng kỹ thuật làm rối mã (obfuscation) nặng và khả năng chống phân tích rộng rãi để phân phối các ứng dụng không mong muốn (PUA) hoặc các payload khác. Nó đóng vai trò như chỗ đứng chân ban đầu và là trình tải trong các chuỗi tấn công được quan sát .

Một Chiến Dịch Toàn Cầu, Lâu Dài

Quy mô của chiến dịch này là rất đáng kể. Check Point báo cáo rằng hệ sinh thái này đã hoạt động từ cuối năm 2025 và đã tạo ra hơn 5.000 bài gửi lên VirusTotal, cho thấy một lượng lớn nạn nhân. Các mục tiêu địa lý chính trải rộng toàn cầu, với hoạt động mạnh tập trung ở Thổ Nhĩ Kỳ, Ba Lan, Brazil, Đức, Pháp, Nga và Vương quốc Anh .

Đối với các nhà phát triển và chuyên gia bảo mật, bài học rút ra là rất rõ ràng và cấp thiết. Thời kỳ tải xuống một công cụ dựa trên kết quả tìm kiếm một cách dễ dãi đã qua. Người dùng phải xác minh rằng mình đang ở trên kho lưu trữ dự án chính thức, truy cập trực tiếp vào trang GitHub hoặc GitLab đã biết, và hãy nghi ngờ bất kỳ lượt tải xuống nào không cung cấp ngay tệp tin mong đợi. Tính chuyên nghiệp của các trang web giả mạo này khiến việc kiểm tra bằng mắt thường không còn đủ khả năng phòng thủ trước một hệ sinh thái được xây dựng trên lòng tin bị đánh cắp và sự đánh lừa tự động.