Duy Linh
Writer
Tội phạm mạng đang tận dụng các email lừa đảo liên quan đến thuế để phát tán phần mềm độc hại tinh vi hoạt động hoàn toàn trong bộ nhớ trên hệ thống Windows, giúp vượt qua nhiều cơ chế phát hiện truyền thống vốn dựa vào việc quét tệp trên ổ đĩa.
Chiến dịch bắt đầu khi nạn nhân nhận được email giả mạo có chứa tệp đính kèm được ngụy trang dưới dạng tài liệu thuế chính thức, biểu mẫu W-2 hoặc thông báo từ chối kê khai thuế mang danh nghĩa các tổ chức hợp pháp như Intuit QuickBooks hay HM Revenue & Customs.
Khi người dùng mở tệp đính kèm, một chuỗi thực thi nhiều giai đoạn sẽ được kích hoạt mà không ghi mã độc xuống ổ đĩa. Thay vào đó, kẻ tấn công khai thác các công cụ quản trị hợp pháp của Windows như PowerShell, mshta.exe và Windows Management Instrumentation (WMI) để chạy các trình tải shellcode hoàn toàn trong bộ nhớ.
Các chiến dịch gần đây được cho là do nhóm tội phạm mạng Silver Fox thực hiện, tập trung vào các tổ chức và cá nhân tại Ấn Độ. Nhóm này sử dụng các email lừa đảo liên quan đến thuế được thiết kế rất thuyết phục, mô phỏng thông báo từ các cơ quan thuế chính thức.
Theo báo cáo của CYFIRMA được chia sẻ với GBHackers, các chiến dịch được phát hiện từ đầu năm 2026 đã sử dụng danh nghĩa cơ quan thuế và tổ chức tài chính để đánh cắp dữ liệu nhạy cảm, đồng thời phát tán các phần mềm truy cập từ xa (RAT) tiên tiến hoạt động hoàn toàn trong bộ nhớ.
Mã độc còn bảo vệ quá trình thực thi bằng kỹ thuật làm phẳng luồng điều khiển (Control Flow Flattening - CFF) dựa trên LLVM, đồng thời thiết lập kết nối điều khiển từ xa (C2) liên tục thông qua WebSocket bằng cách nâng cấp giao thức HTTP.
Chuỗi tấn công (Nguồn: CYFIRMA).
DLL độc hại thực hiện nhiều bước chống phân tích như kiểm tra chống gỡ lỗi, vô hiệu hóa Windows Update, giải mã dữ liệu nhúng và tiêm mã vào các tiến trình Windows hợp pháp để che giấu hoạt động.
Trình tải shellcode được tạo bằng Donut sẽ bao bọc và thực thi toàn bộ payload cuối cùng trong bộ nhớ, không tạo ra dấu vết trên ổ đĩa. Điều này giúp tránh bị phát hiện bởi các giải pháp chống virus truyền thống.
Payload cuối cùng là một trojan truy cập từ xa dạng mô-đun, hỗ trợ ghi lại thao tác bàn phím, truy cập shell từ xa, truyền tệp và thực thi các plugin động.
Phần mềm độc hại trong bộ nhớ, còn gọi là malware không cần tệp (fileless malware), là bước tiến đáng kể trong kỹ thuật tấn công mạng. Loại mã độc này chỉ tồn tại trong bộ nhớ hệ thống thay vì tạo tệp lưu trữ lâu dài trên ổ đĩa.
Phân tích tĩnh cho thấy SbieDll.dll là thư viện liên kết động PE64 dành cho kiến trúc AMD64, được biên dịch bằng Microsoft Visual C/C++ trên Visual Studio 2022. Kết quả phân tích bằng Detect It Easy (DiE) cũng cho thấy nhiều dấu hiệu đóng gói và làm rối mã.
Kết quả phân tích tĩnh của SbieDll.dll bằng Detect It Easy (DiE) làm nổi bật kiến trúc DLL PE64, các chỉ báo về đóng gói và làm rối mã (Nguồn: CYFIRMA).
Báo cáo mùa thuế năm 2025 của Proofpoint đã ghi nhận hơn 100 chiến dịch độc hại mạo danh cơ quan thuế. Các chiến dịch này phát tán nhiều họ mã độc như Rhadamanthys, zgRAT, MetaStealer, XWorm, AsyncRAT và VenomRAT.
Một chiến dịch khác đã phát tán Remcos RAT thông qua tài liệu thuế giả, tập lệnh PowerShell và tệp phím tắt Microsoft. Các tệp này tự động kích hoạt HTA độc hại thông qua mshta.exe.
Đáng chú ý, thay vì tạo luồng mới bằng các API Windows thường bị EDR giám sát, mã độc thực thi shellcode thông qua trình xử lý COM IContextCallback::ContextCallback nhằm giảm khả năng bị phát hiện.
Logic xử lý đăng ký và thực thi lệnh gọi lại COM (Nguồn: CYFIRMA).
Silver Fox cũng triển khai cơ chế liên lạc điều khiển nhiều tầng và khả năng chuyển đổi dự phòng linh hoạt với khoảng thời gian beacon có thể cấu hình. Các thành phần quan trọng được lưu trữ trong Registry nhằm duy trì hoạt động lâu dài.
Chiến dịch này cho thấy sự kết hợp giữa kỹ thuật thao túng tâm lý qua email lừa đảo và các kỹ thuật phần mềm độc hại đa giai đoạn tiên tiến, nhắm mục tiêu vào các đối tượng cụ thể trong từng khu vực.
Các chuyên gia khuyến nghị đội ngũ bảo mật cần ưu tiên phát hiện các hành vi bất thường như sử dụng PowerShell trái phép, tải xuống thông qua mshta.exe và các dấu hiệu chiếm quyền điều khiển DLL.
Các tổ chức cũng cần tăng cường đào tạo nhân viên nhận diện email lừa đảo trong mùa khai thuế, bởi những chiến dịch này thường khai thác tâm lý lo sợ bị phạt tài chính hoặc nhu cầu xử lý các thủ tục thuế khẩn cấp.
Bên cạnh đó, việc triển khai danh sách trắng ứng dụng, giám sát các kỹ thuật Living off the Land và áp dụng công nghệ quét bộ nhớ sẽ đóng vai trò quan trọng trong việc phòng thủ trước các cuộc tấn công khó phát hiện này.
Hiệu quả của các chiến dịch lừa đảo liên quan đến thuế đến từ việc nạn nhân thường tin tưởng các thông báo đến từ tổ chức có thẩm quyền hoặc lo lắng về hậu quả khi cung cấp thông tin không chính xác.
Trong bối cảnh các nền tảng tấn công lừa đảo dưới dạng dịch vụ như RaccoonO365 ngày càng được sử dụng để triển khai Remcos RAT và BruteRatel C4, các tổ chức cần phát triển chiến lược phát hiện dựa trên hành vi và bộ nhớ, thay vì chỉ phụ thuộc vào các giải pháp chống virus dựa trên tệp truyền thống.
Chiến dịch bắt đầu khi nạn nhân nhận được email giả mạo có chứa tệp đính kèm được ngụy trang dưới dạng tài liệu thuế chính thức, biểu mẫu W-2 hoặc thông báo từ chối kê khai thuế mang danh nghĩa các tổ chức hợp pháp như Intuit QuickBooks hay HM Revenue & Customs.
Khi người dùng mở tệp đính kèm, một chuỗi thực thi nhiều giai đoạn sẽ được kích hoạt mà không ghi mã độc xuống ổ đĩa. Thay vào đó, kẻ tấn công khai thác các công cụ quản trị hợp pháp của Windows như PowerShell, mshta.exe và Windows Management Instrumentation (WMI) để chạy các trình tải shellcode hoàn toàn trong bộ nhớ.
Các chiến dịch gần đây được cho là do nhóm tội phạm mạng Silver Fox thực hiện, tập trung vào các tổ chức và cá nhân tại Ấn Độ. Nhóm này sử dụng các email lừa đảo liên quan đến thuế được thiết kế rất thuyết phục, mô phỏng thông báo từ các cơ quan thuế chính thức.
Chuỗi tấn công nhiều giai đoạn nhằm né tránh phát hiện
Cuộc tấn công thường bắt đầu bằng một tệp PDF giả mạo tài liệu thuế. Tệp này dẫn nạn nhân đến một trang web tải xuống tệp ZIP chứa trình cài đặt NSIS. Khi được thực thi, trình cài đặt sẽ thả một tệp nhị phân có chữ ký hợp lệ cùng một DLL độc hại. DLL này được tải thông qua kỹ thuật chiếm quyền điều khiển DLL (DLL Hijacking) nhằm vượt qua các cơ chế bảo mật.Theo báo cáo của CYFIRMA được chia sẻ với GBHackers, các chiến dịch được phát hiện từ đầu năm 2026 đã sử dụng danh nghĩa cơ quan thuế và tổ chức tài chính để đánh cắp dữ liệu nhạy cảm, đồng thời phát tán các phần mềm truy cập từ xa (RAT) tiên tiến hoạt động hoàn toàn trong bộ nhớ.
Mã độc còn bảo vệ quá trình thực thi bằng kỹ thuật làm phẳng luồng điều khiển (Control Flow Flattening - CFF) dựa trên LLVM, đồng thời thiết lập kết nối điều khiển từ xa (C2) liên tục thông qua WebSocket bằng cách nâng cấp giao thức HTTP.
Chuỗi tấn công (Nguồn: CYFIRMA).
DLL độc hại thực hiện nhiều bước chống phân tích như kiểm tra chống gỡ lỗi, vô hiệu hóa Windows Update, giải mã dữ liệu nhúng và tiêm mã vào các tiến trình Windows hợp pháp để che giấu hoạt động.
Trình tải shellcode được tạo bằng Donut sẽ bao bọc và thực thi toàn bộ payload cuối cùng trong bộ nhớ, không tạo ra dấu vết trên ổ đĩa. Điều này giúp tránh bị phát hiện bởi các giải pháp chống virus truyền thống.
Payload cuối cùng là một trojan truy cập từ xa dạng mô-đun, hỗ trợ ghi lại thao tác bàn phím, truy cập shell từ xa, truyền tệp và thực thi các plugin động.
Phần mềm độc hại trong bộ nhớ, còn gọi là malware không cần tệp (fileless malware), là bước tiến đáng kể trong kỹ thuật tấn công mạng. Loại mã độc này chỉ tồn tại trong bộ nhớ hệ thống thay vì tạo tệp lưu trữ lâu dài trên ổ đĩa.
Phân tích tĩnh cho thấy SbieDll.dll là thư viện liên kết động PE64 dành cho kiến trúc AMD64, được biên dịch bằng Microsoft Visual C/C++ trên Visual Studio 2022. Kết quả phân tích bằng Detect It Easy (DiE) cũng cho thấy nhiều dấu hiệu đóng gói và làm rối mã.
Kết quả phân tích tĩnh của SbieDll.dll bằng Detect It Easy (DiE) làm nổi bật kiến trúc DLL PE64, các chỉ báo về đóng gói và làm rối mã (Nguồn: CYFIRMA).
Kỹ thuật "sống dựa vào hệ thống" khiến việc phòng thủ khó khăn hơn
Chiến dịch này tận dụng phương pháp "Living off the Land" (sống dựa vào hệ thống hiện có), trong đó kẻ tấn công sử dụng các công cụ hợp pháp của hệ điều hành để duy trì quyền truy cập. Chúng thiết lập cơ chế tồn tại thông qua các khóa Registry Run và thư mục khởi động, khiến việc phát hiện trở nên đặc biệt khó khăn đối với các đội ngũ bảo mật.Báo cáo mùa thuế năm 2025 của Proofpoint đã ghi nhận hơn 100 chiến dịch độc hại mạo danh cơ quan thuế. Các chiến dịch này phát tán nhiều họ mã độc như Rhadamanthys, zgRAT, MetaStealer, XWorm, AsyncRAT và VenomRAT.
Một chiến dịch khác đã phát tán Remcos RAT thông qua tài liệu thuế giả, tập lệnh PowerShell và tệp phím tắt Microsoft. Các tệp này tự động kích hoạt HTA độc hại thông qua mshta.exe.
Đáng chú ý, thay vì tạo luồng mới bằng các API Windows thường bị EDR giám sát, mã độc thực thi shellcode thông qua trình xử lý COM IContextCallback::ContextCallback nhằm giảm khả năng bị phát hiện.
Logic xử lý đăng ký và thực thi lệnh gọi lại COM (Nguồn: CYFIRMA).
Silver Fox cũng triển khai cơ chế liên lạc điều khiển nhiều tầng và khả năng chuyển đổi dự phòng linh hoạt với khoảng thời gian beacon có thể cấu hình. Các thành phần quan trọng được lưu trữ trong Registry nhằm duy trì hoạt động lâu dài.
Chiến dịch này cho thấy sự kết hợp giữa kỹ thuật thao túng tâm lý qua email lừa đảo và các kỹ thuật phần mềm độc hại đa giai đoạn tiên tiến, nhắm mục tiêu vào các đối tượng cụ thể trong từng khu vực.
Các chuyên gia khuyến nghị đội ngũ bảo mật cần ưu tiên phát hiện các hành vi bất thường như sử dụng PowerShell trái phép, tải xuống thông qua mshta.exe và các dấu hiệu chiếm quyền điều khiển DLL.
Các tổ chức cũng cần tăng cường đào tạo nhân viên nhận diện email lừa đảo trong mùa khai thuế, bởi những chiến dịch này thường khai thác tâm lý lo sợ bị phạt tài chính hoặc nhu cầu xử lý các thủ tục thuế khẩn cấp.
Bên cạnh đó, việc triển khai danh sách trắng ứng dụng, giám sát các kỹ thuật Living off the Land và áp dụng công nghệ quét bộ nhớ sẽ đóng vai trò quan trọng trong việc phòng thủ trước các cuộc tấn công khó phát hiện này.
Hiệu quả của các chiến dịch lừa đảo liên quan đến thuế đến từ việc nạn nhân thường tin tưởng các thông báo đến từ tổ chức có thẩm quyền hoặc lo lắng về hậu quả khi cung cấp thông tin không chính xác.
Trong bối cảnh các nền tảng tấn công lừa đảo dưới dạng dịch vụ như RaccoonO365 ngày càng được sử dụng để triển khai Remcos RAT và BruteRatel C4, các tổ chức cần phát triển chiến lược phát hiện dựa trên hành vi và bộ nhớ, thay vì chỉ phụ thuộc vào các giải pháp chống virus dựa trên tệp truyền thống.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
