An ninh mạng

Cảnh báo: Tin tặc lợi dụng Google DoubleClick để phát tán mã độc DesckVB RAT

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch malspam tinh vi sử dụng hạ tầng Google DoubleClick để vượt qua các bộ lọc an ninh và phát tán mã độc DesckVB...

Nguyen Hung
5 Tháng 6, 2026 3 Min Read
3 0

Một chiến dịch phát tán mã độc (malspam) mới đang gây chú ý khi lợi dụng tên miền Google DoubleClick làm bước đệm để vượt qua các cơ chế kiểm duyệt, nhằm mục đích cuối cùng là lây nhiễm DesckVB RAT vào máy tính nạn nhân.

Table Of Content

Phương thức tấn công tinh vi

Theo các chuyên gia từ Huntress, thay vì điều hướng trực tiếp đến server của kẻ tấn công, các đường link độc hại được chuyển hướng qua DoubleClick – một tên miền hợp lệ của Google. Do đây là dịch vụ quảng cáo uy tín, nhiều công cụ bảo mật thường bỏ qua hoặc ít nghi ngờ các liên kết này.

Điểm đáng chú ý trong chiến dịch này là khả năng cá nhân hóa nội dung trang đích theo thời gian thực. Hệ thống tự động trích xuất địa chỉ email, thương hiệu công ty và vị trí địa lý của nạn nhân để tạo ra các trang lừa đảo trông rất chuyên nghiệp mà không cần phải thiết kế thủ công cho từng mục tiêu, giúp chiến dịch trở nên linh hoạt và tiết kiệm chi phí hơn.

Chuỗi lây nhiễm của DesckVB RAT

Quy trình tấn công bắt đầu khi người dùng mở một tệp HTML đính kèm trong email phishing. Tệp này kích hoạt cơ chế chuyển hướng qua Google DoubleClick, sau đó dẫn nạn nhân đến một trang web yêu cầu tải xuống tệp PDF giả mạo. Khi người dùng nhấp vào nút tải, một tệp ZIP chứa mã độc sẽ được tải về.

Mã độc này sử dụng một JavaScript loader để thực thi script PowerShell, từ đó tải về một loader .NET từ server bên ngoài. Loader này có nhiệm vụ kiểm tra môi trường để tránh bị phân tích, vô hiệu hóa các biện pháp bảo mật của hệ thống và cuối cùng thực hiện kỹ thuật process hollowing để tiêm mã độc vào các tiến trình hợp lệ của Microsoft.

Khả năng kiểm soát toàn diện

Sau khi được kích hoạt, DesckVB RAT thiết lập kết nối với server C2 (Command-and-Control) qua các socket TCP thô. Nó thực hiện các hành vi như:

  • Vô hiệu hóa Microsoft Defender bằng cách thêm các loại trừ (exclusions).
  • Patch các thành phần AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows) để che giấu dấu vết.
  • Thiết lập cơ chế duy trì (persistence) thông qua Registry và thư mục Startup.
  • Tự động khởi động lại hoặc dừng hoạt động nếu phát hiện môi trường sandbox hoặc công cụ phân tích.

Khuyến nghị bảo mật

Để phòng chống các cuộc tấn công tương tự, các tổ chức nên áp dụng chiến lược phòng thủ theo chiều sâu:

  • Cấu hình GPO: Thiết lập Group Policy Object trong Active Directory để ép buộc các tệp script như .vbs, .hta, .js mở bằng Notepad thay vì thực thi trực tiếp.
  • Bảo mật email: Triển khai đầy đủ các bản ghi DMARC, DKIM và SPF để ngăn chặn email giả mạo.
  • Giải pháp Gateway: Sử dụng các cổng bảo mật email có khả năng sandbox các tệp đính kèm và kiểm tra liên kết trước khi chuyển đến người dùng cuối.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept