Nguyễn Tiến Đạt
Intern Writer
Chiến dịch lừa đảo sử dụng tệp ZIP để phát tán mã độc .NET mới
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công mới nhắm vào ngành ô tô và thương mại điện tử tại Nga, sử dụng phần mềm độc hại .NET chưa từng được ghi nhận trước đây – CAPI Backdoor.
Theo báo cáo của Seqrite Labs, chuỗi tấn công bắt đầu bằng email lừa đảo chứa tệp ZIP được gửi đến mục tiêu. Phân tích từ công ty cho thấy một mẫu ZIP đã được tải lên nền tảng VirusTotal vào ngày 3/10/2025, đóng vai trò là nguồn lây nhiễm.
Bên trong tệp ZIP là tài liệu giả bằng tiếng Nga, được trình bày như một thông báo về luật thuế thu nhập, cùng với tệp lối tắt Windows (LNK) mang tên “Перерасчет заработной платы 01.10.2025”. Khi người dùng mở tệp này, mã độc .NET (adobe.dll) sẽ được thực thi thông qua tệp hệ thống hợp pháp “rundll32.exe”, áp dụng kỹ thuật “living off the land” (LotL) — tức tận dụng công cụ có sẵn trong Windows để tránh bị phát hiện.
CAPI Backdoor có khả năng đánh cắp dữ liệu và duy trì truy cập lâu dài
Seqrite cho biết CAPI Backdoor được lập trình để kiểm tra quyền quản trị, thu thập danh sách phần mềm diệt virus đã cài đặt và mở tài liệu giả nhằm đánh lạc hướng nạn nhân. Trong khi đó, mã độc âm thầm kết nối đến máy chủ điều khiển (C2) tại địa chỉ 91.223.75[.]96 để nhận lệnh mới.
Các lệnh này cho phép CAPI Backdoor:
Đánh cắp dữ liệu từ trình duyệt Google Chrome, Microsoft Edge và Mozilla Firefox.
Chụp ảnh màn hình, thu thập thông tin hệ thống và liệt kê thư mục.
Gửi dữ liệu thu thập được trở lại máy chủ.
Ngoài ra, phần mềm độc hại còn thực hiện nhiều bước kiểm tra để xác định môi trường ảo hóa, tránh bị phát hiện trong quá trình phân tích. Nó tạo tính bền bỉ trên hệ thống bằng hai phương pháp:
Thiết lập tác vụ theo lịch trình (Scheduled Task).
Tạo tệp LNK trong thư mục Khởi động (Startup), giúp DLL cửa hậu tự động kích hoạt khi Windows khởi động.
Tệp DLL được sao chép vào thư mục Windows Roaming, cho phép mã độc tồn tại lâu dài ngay cả sau khi khởi động lại máy.
Seqrite cho rằng mục tiêu tấn công là ngành công nghiệp ô tô Nga, dựa trên tên miền liên quan đến chiến dịch – carprlce[.]ru, có vẻ mạo danh trang carprice[.]ru hợp pháp.
Hai nhà nghiên cứu Priya Patel và Subhajeet Singha kết luận:
“Phần mềm độc hại này là một DLL .NET có khả năng đánh cắp dữ liệu và duy trì hoạt động, mở đường cho các chiến dịch tấn công trong tương lai. (Thehackernews)
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công mới nhắm vào ngành ô tô và thương mại điện tử tại Nga, sử dụng phần mềm độc hại .NET chưa từng được ghi nhận trước đây – CAPI Backdoor.
Theo báo cáo của Seqrite Labs, chuỗi tấn công bắt đầu bằng email lừa đảo chứa tệp ZIP được gửi đến mục tiêu. Phân tích từ công ty cho thấy một mẫu ZIP đã được tải lên nền tảng VirusTotal vào ngày 3/10/2025, đóng vai trò là nguồn lây nhiễm.
Bên trong tệp ZIP là tài liệu giả bằng tiếng Nga, được trình bày như một thông báo về luật thuế thu nhập, cùng với tệp lối tắt Windows (LNK) mang tên “Перерасчет заработной платы 01.10.2025”. Khi người dùng mở tệp này, mã độc .NET (adobe.dll) sẽ được thực thi thông qua tệp hệ thống hợp pháp “rundll32.exe”, áp dụng kỹ thuật “living off the land” (LotL) — tức tận dụng công cụ có sẵn trong Windows để tránh bị phát hiện.
CAPI Backdoor có khả năng đánh cắp dữ liệu và duy trì truy cập lâu dài
Seqrite cho biết CAPI Backdoor được lập trình để kiểm tra quyền quản trị, thu thập danh sách phần mềm diệt virus đã cài đặt và mở tài liệu giả nhằm đánh lạc hướng nạn nhân. Trong khi đó, mã độc âm thầm kết nối đến máy chủ điều khiển (C2) tại địa chỉ 91.223.75[.]96 để nhận lệnh mới.
Các lệnh này cho phép CAPI Backdoor:
Đánh cắp dữ liệu từ trình duyệt Google Chrome, Microsoft Edge và Mozilla Firefox.
Chụp ảnh màn hình, thu thập thông tin hệ thống và liệt kê thư mục.
Gửi dữ liệu thu thập được trở lại máy chủ.
Ngoài ra, phần mềm độc hại còn thực hiện nhiều bước kiểm tra để xác định môi trường ảo hóa, tránh bị phát hiện trong quá trình phân tích. Nó tạo tính bền bỉ trên hệ thống bằng hai phương pháp:
Thiết lập tác vụ theo lịch trình (Scheduled Task).
Tạo tệp LNK trong thư mục Khởi động (Startup), giúp DLL cửa hậu tự động kích hoạt khi Windows khởi động.
Tệp DLL được sao chép vào thư mục Windows Roaming, cho phép mã độc tồn tại lâu dài ngay cả sau khi khởi động lại máy.
Seqrite cho rằng mục tiêu tấn công là ngành công nghiệp ô tô Nga, dựa trên tên miền liên quan đến chiến dịch – carprlce[.]ru, có vẻ mạo danh trang carprice[.]ru hợp pháp.
Hai nhà nghiên cứu Priya Patel và Subhajeet Singha kết luận:
“Phần mềm độc hại này là một DLL .NET có khả năng đánh cắp dữ liệu và duy trì hoạt động, mở đường cho các chiến dịch tấn công trong tương lai. (Thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
