MinhSec
Writer
Các chuyên gia của Kaspersky vừa phát hiện một chiến dịch phát tán phần mềm độc hại mới nhắm vào người dùng tải các trò chơi người lớn (hentai) từ các trang web không chính thống. Phần mềm độc hại có tên Argamal được ngụy trang bên trong các bộ cài game hoàn chỉnh, cho phép trò chơi hoạt động bình thường trong khi âm thầm mở cửa hậu cho tin tặc kiểm soát máy tính từ xa.
Theo Kaspersky, Argamal là một Trojan truy cập từ xa (RAT), được phát hiện vào tháng 4/2026. Khác với nhiều tập tin lừa đảo thông thường thường bị lỗi hoặc không thể chạy, những trò chơi nhiễm mã độc này vẫn hoạt động hoàn toàn bình thường. Chúng được xây dựng bằng các nền tảng phổ biến như RenPy hoặc RPG Maker, khiến người dùng khó nhận ra thiết bị đã bị xâm nhập.
Mã độc được phát tán thông qua các trang web chia sẻ game người lớn, dịch vụ lưu trữ tập tin như PixelDrain và các mạng torrent. Khi người dùng khởi chạy trò chơi, một thư viện FFmpeg DLL đã bị chỉnh sửa cùng một số tập tin bổ sung sẽ được tải vào bộ nhớ và âm thầm thực thi các lệnh PowerShell.
Để tránh bị phát hiện, Argamal trước tiên kiểm tra xem hệ thống có đang chạy các công cụ phân tích hoặc giám sát như Sandboxie hay Procmon64 hay không. Nếu không phát hiện nguy cơ, mã độc sẽ tạm thời "nằm im" trong vài ngày trước khi kích hoạt giai đoạn tiếp theo.
Sau khoảng ba ngày, một tác vụ được lên lịch sẵn sẽ sử dụng công cụ bitsadmin.exe của Windows để tải xuống một tập tin mã hóa từ GitHub. Tập tin này sau đó được giải mã để tạo thành mô-đun Trojan chính. Đồng thời, Argamal cũng chỉnh sửa Registry Windows thông qua kỹ thuật chiếm quyền điều khiển COM nhằm đảm bảo nó tự động khởi động mỗi khi người dùng đăng nhập vào hệ thống.
Khi đã hoạt động đầy đủ, Argamal sẽ liên lạc với máy chủ điều khiển của tin tặc và cho phép chúng thực hiện nhiều hành vi nguy hiểm như đánh cắp tập tin, thu thập dữ liệu tài chính, đọc tin nhắn riêng tư, chụp ảnh màn hình, thay đổi địa chỉ ví tiền điện tử hoặc thậm chí phát trực tiếp hình ảnh từ thiết bị bị nhiễm.
Kaspersky cho biết đã ghi nhận hàng trăm trường hợp lây nhiễm, tập trung chủ yếu tại Nga, Brazil, Đức và Việt Nam. Phân tích mã nguồn cho thấy nhóm đứng sau chiến dịch có thể sử dụng tiếng Tây Ban Nha. Đáng chú ý, mã độc này được lập trình để tránh tấn công người dùng tại Trung Quốc.
Các chuyên gia khuyến cáo người dùng nên tránh tải game từ các nguồn không xác thực, đặc biệt là các trang web người lớn và mạng torrent. Việc sử dụng phần mềm bảo mật có khả năng giám sát theo thời gian thực cũng là một biện pháp quan trọng giúp phát hiện và ngăn chặn các mối đe dọa tương tự.
Theo Kaspersky, Argamal là một Trojan truy cập từ xa (RAT), được phát hiện vào tháng 4/2026. Khác với nhiều tập tin lừa đảo thông thường thường bị lỗi hoặc không thể chạy, những trò chơi nhiễm mã độc này vẫn hoạt động hoàn toàn bình thường. Chúng được xây dựng bằng các nền tảng phổ biến như RenPy hoặc RPG Maker, khiến người dùng khó nhận ra thiết bị đã bị xâm nhập.
Mã độc được phát tán thông qua các trang web chia sẻ game người lớn, dịch vụ lưu trữ tập tin như PixelDrain và các mạng torrent. Khi người dùng khởi chạy trò chơi, một thư viện FFmpeg DLL đã bị chỉnh sửa cùng một số tập tin bổ sung sẽ được tải vào bộ nhớ và âm thầm thực thi các lệnh PowerShell.
Để tránh bị phát hiện, Argamal trước tiên kiểm tra xem hệ thống có đang chạy các công cụ phân tích hoặc giám sát như Sandboxie hay Procmon64 hay không. Nếu không phát hiện nguy cơ, mã độc sẽ tạm thời "nằm im" trong vài ngày trước khi kích hoạt giai đoạn tiếp theo.
Sau khoảng ba ngày, một tác vụ được lên lịch sẵn sẽ sử dụng công cụ bitsadmin.exe của Windows để tải xuống một tập tin mã hóa từ GitHub. Tập tin này sau đó được giải mã để tạo thành mô-đun Trojan chính. Đồng thời, Argamal cũng chỉnh sửa Registry Windows thông qua kỹ thuật chiếm quyền điều khiển COM nhằm đảm bảo nó tự động khởi động mỗi khi người dùng đăng nhập vào hệ thống.
Khi đã hoạt động đầy đủ, Argamal sẽ liên lạc với máy chủ điều khiển của tin tặc và cho phép chúng thực hiện nhiều hành vi nguy hiểm như đánh cắp tập tin, thu thập dữ liệu tài chính, đọc tin nhắn riêng tư, chụp ảnh màn hình, thay đổi địa chỉ ví tiền điện tử hoặc thậm chí phát trực tiếp hình ảnh từ thiết bị bị nhiễm.
Kaspersky cho biết đã ghi nhận hàng trăm trường hợp lây nhiễm, tập trung chủ yếu tại Nga, Brazil, Đức và Việt Nam. Phân tích mã nguồn cho thấy nhóm đứng sau chiến dịch có thể sử dụng tiếng Tây Ban Nha. Đáng chú ý, mã độc này được lập trình để tránh tấn công người dùng tại Trung Quốc.
Các chuyên gia khuyến cáo người dùng nên tránh tải game từ các nguồn không xác thực, đặc biệt là các trang web người lớn và mạng torrent. Việc sử dụng phần mềm bảo mật có khả năng giám sát theo thời gian thực cũng là một biện pháp quan trọng giúp phát hiện và ngăn chặn các mối đe dọa tương tự.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
