Chiến dịch tấn công sử dụng UpCrypter để phát tán mã độc RAT thông qua email lừa đảo

Sử dụng email lừa đảo

Chiến dịch này lợi dụng email để gửi URL độc hại liên kết đến các trang lừa đảo, theo nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs cho biết: “Những trang web này được thiết kế để dụ nạn nhân tải xuống các tệp JavaScript hoạt động như dropper cho UpCrypter”.

Các cuộc tấn công phát tán phần mềm độc hại chủ yếu nhắm vào các lĩnh vực sản xuất, công nghệ, chăm sóc sức khỏe, xây dựng và bán lẻ/khách sạn trên toàn thế giới kể từ đầu tháng 8/2025. Phần lớn các vụ tấn công được phát hiện ở Áo, Belarus, Canada, Ai Cập, Ấn Độ và Pakistan, cùng nhiều quốc gia khác.

Được biết, UpCrypter hoạt động như một kênh dẫn cho nhiều công cụ truy cập từ xa (RAT) khác nhau, chẳng hạn như PureHVNC RAT, DCRat (hay còn gọi là DarkCrystal RAT) và Babylon RAT, mỗi công cụ đều cho phép kẻ tấn công kiểm soát hoàn toàn các máy chủ bị xâm phạm.

Điểm khởi đầu của chuỗi lây nhiễm là một email lừa đảo sử dụng các chủ đề liên quan đến tin nhắn thoại và giao dịch mua hàng để đánh lừa nạn nhân nhấp vào các liên kết để chuyển hướng đến các trang đích giả mạo, từ đó họ được nhắc tải xuống tin nhắn thoại hoặc tài liệu PDF.

Fortinet cho biết: “Trang mồi nhử được thiết kế để trông có vẻ thuyết phục bằng cách không chỉ hiển thị chuỗi tên miền của nạn nhân trên banner mà còn lấy và nhúng logo của tên miền vào nội dung trang để tăng cường tính xác thực. Mục đích chính của nó là phát tán một tệp tải xuống độc hại”.

Payload được tải xuống là một thư mục ZIP chứa tệp JavaScript được mã hóa, sau đó liên hệ với máy chủ bên ngoài để tải phần mềm độc hại ở giai đoạn tiếp theo, nhưng chỉ sau khi xác nhận kết nối Internet và quét các tiến trình đang chạy để tìm công cụ điều tra số, trình gỡ lỗi hoặc môi trường sandbox.

Sau đó, trình tải sẽ liên hệ với cùng một máy chủ để lấy dữ liệu cuối cùng, ở dạng văn bản thuần túy hoặc được nhúng trong một hình ảnh trông có vẻ vô hại, một kỹ thuật gọi là “steganography”.

Fortinet cho biết UpCrypter cũng được phân phối dưới dạng trình tải MSIL, giống như JavaScript, nó thực hiện kiểm tra chống phân tích và chống máy ảo, sau đó tải xuống 3 payload khác nhau, bao gồm một tập lệnh PowerShell obfuscation, một DLL và payload chính.

Cuộc tấn công kết thúc bằng việc mã độc nhúng dữ liệu từ trình tải DLL và payload trong quá trình thực thi, cho phép phần mềm độc hại chạy mà không cần ghi vào hệ thống tệp. Phương pháp này cũng có ưu điểm là giảm thiểu dấu vết điều tra số, giúp phần mềm độc hại không bị phát hiện.

Lin cho biết: “Sự kết hợp giữa trình tải được duy trì tích cực, khả năng che giấu obfuscation theo lớp và phân phối RAT đa dạng cho thấy một mối đe dọa có khả năng thích ứng, vượt qua được các biện pháp phòng thủ và duy trì tính bền bỉ trong nhiều môi trường khác nhau”.

Diễn biến liên quan

Tiết lộ này được đưa ra trong bối cảnh hãng bảo mật Check Point nêu chi tiết về một chiến dịch lừa đảo quy mô lớn lợi dụng Google Classroom để phát tán hơn 115.000 email lừa đảo, nhắm vào 13.500 tổ chức trên nhiều ngành công nghiệp khác nhau từ ngày 6 đến ngày 12/8/2025. Các cuộc tấn công này nhắm vào các tổ chức ở Châu Âu, Bắc Mỹ, Trung Đông và Châu Á.

“Những kẻ tấn công đã gửi những lời mời giả mạo chứa các ưu đãi thương mại không liên quan, từ chào hàng bán lại sản phẩm đến dịch vụ SEO. Mỗi email đều hướng dẫn người nhận liên hệ với kẻ lừa đảo qua số điện thoại WhatsApp, một chiến thuật thường liên quan đến các âm mưu lừa đảo”, Check Point cho biết.

Cuộc tấn công tinh vi vượt qua các hệ thống bảo mật vì nó lợi dụng sự tin cậy và uy tín của cơ sở hạ tầng Google Classroom, nhằm vượt qua các giao thức xác thực email quan trọng như SPF, DKIM và DMARC, đồng thời giúp đưa email lừa đảo vào hộp thư đến của người dùng.

Các chiến dịch này là một phần của xu hướng lớn hơn, trong đó các tác nhân đe dọa lợi dụng các dịch vụ hợp pháp như Microsoft 365 Direct Send và OneNote, chưa kể đến các trình xây dựng trang web sử dụng trí tuệ nhân tạo (AI) không bị lạm dụng như Vercel v0 và Flazio, cũng như các nền tảng khác như Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform.