Một chiến dịch tấn công mạng mới sử dụng kỹ thuật tinh vi kết hợp tệp ".pif" cũ, bypass UAC cùng các phương pháp obfuscation để triển khai malware Remcos RAT trên hệ thống Windows đã được phát hiện.
Cuộc tấn công bắt đầu bằng email phishing với tệp nén chứa tệp thực thi giả mạo tên liên quan đến doanh nghiệp, sau đó lợi dụng các tệp ".pif" còn hoạt động trên Windows để trà trộn và thực thi mã độc.
Chúng thao túng nạn nhân bằng cách inject vào tiến trình hợp pháp như "SndVol.exe" hay "Colorcpl.exe", che giấu dấu vết. Đáng lo ngại là chiến dịch này không yêu cầu nhập mật khẩu, ít phụ thuộc vào tương tác người dùng và được cho là đang được triển khai ngoài thực tế.
Đối tượng đang bị nhắm tới chính là tất cả người dùng Windows trên toàn cầu từ cá nhân đến doanh nghiệp, đặc biệt là các nhân viên chuyên nhận email company invoices hay tài liệu kinh doanh, nạn nhân sẽ mở email/phishy archive ZIP.
Tiếp theo, mã độc tạo một thư mục giả như "C:\Windows " (có khoảng trắng ở cuối), lợi dụng lỗi trong cách Windows xử lý đường dẫn để qua mặt cơ chế bảo vệ UAC, từ đó tự nâng quyền mà không cần sự cho phép của người dùng.
Để tránh bị phát hiện, mã độc tiếp tục sử dụng "extrac32.exe" (một tiện ích Windows hợp pháp) để thêm chính nó vào danh sách loại trừ (exclusion list) của Windows Defender, khiến phần mềm bảo vệ "nhắm mắt làm ngơ".
Remcos là malware thương mại, liên tục được cập nhật, được bán thông qua nền tảng đen và có khả năng điều khiển hệ thống từ xa hoàn chỉnh.
⭢ Từ một email tưởng như vô hại, chuỗi tấn công này đã âm thầm triển khai nhiều kỹ thuật phức tạp: Từ vượt UAC, né sandbox, duy trì khởi động, đến che giấu hành vi bằng công cụ Windows hợp pháp, để rồi âm thầm cấy Remcos RAT vào hệ thống. Điều này cho thấy mức độ tinh vi của các chiến dịch tấn công hiện đại, nơi công cụ hợp pháp lại trở thành vũ khí nguy hiểm và người dùng phổ thông là mục tiêu dễ bị đánh lừa nhất.
Mặc dù không sử dụng mã độc quá phức tạp, nhưng các chuyên gia bảo mật nhận định chiến dịch này cực kỳ tinh vi ở khâu chiến thuật từ cách ẩn mình, né tránh phần mềm phòng vệ cho đến việc khai thác thói quen bất cẩn của người dùng. Chính sự ngụy trang khéo léo này khiến nạn nhân dễ dàng bị đánh lừa và vô tình tiếp tay cho mã độc hoạt động âm thầm trong hệ thống.
Cuộc tấn công bắt đầu bằng email phishing với tệp nén chứa tệp thực thi giả mạo tên liên quan đến doanh nghiệp, sau đó lợi dụng các tệp ".pif" còn hoạt động trên Windows để trà trộn và thực thi mã độc.
Chúng thao túng nạn nhân bằng cách inject vào tiến trình hợp pháp như "SndVol.exe" hay "Colorcpl.exe", che giấu dấu vết. Đáng lo ngại là chiến dịch này không yêu cầu nhập mật khẩu, ít phụ thuộc vào tương tác người dùng và được cho là đang được triển khai ngoài thực tế.
Đối tượng đang bị nhắm tới chính là tất cả người dùng Windows trên toàn cầu từ cá nhân đến doanh nghiệp, đặc biệt là các nhân viên chuyên nhận email company invoices hay tài liệu kinh doanh, nạn nhân sẽ mở email/phishy archive ZIP.
Nguyên nhân & quá trình hoạt động của chiến dịch
Chiến dịch cài Remcos RAT được thiết kế theo một chuỗi các bước tinh vi, tận dụng cả kỹ thuật cũ lẫn công cụ Windows hợp pháp nhằm vượt qua phòng vệ và duy trì sự hiện diện lâu dài trên thiết bị nạn nhân. Cụ thể:1.Bắt đầu từ một email lừa đảo (phishing)
Mọi chuyện khởi nguồn từ một email được gửi đến người dùng, đính kèm tệp nén (ZIP/RAR). Bên trong là một file ".exe" mang tên tưởng chừng hợp pháp như "FAKTURA.exe" giả dạng tài liệu kinh doanh hoặc hóa đơn thanh toán. Khi người dùng cả tin mở file, DBatLoader - một trình tải mã độc trung gian sẽ được kích hoạt.2. Lợi dụng định dạng ".pif" và vượt mặt UAC (UAC bypass)
Ngay sau khi được kích hoạt, DBatLoader sẽ tạo ra một file ".pif", vốn là định dạng lỗi thời dành cho ứng dụng DOS nhưng vẫn có thể thực thi trên Windows hiện đại như một file ".exe". Việc dùng định dạng hiếm gặp này giúp malware lẩn tránh sự chú ý của phần mềm bảo mật.Tiếp theo, mã độc tạo một thư mục giả như "C:\Windows " (có khoảng trắng ở cuối), lợi dụng lỗi trong cách Windows xử lý đường dẫn để qua mặt cơ chế bảo vệ UAC, từ đó tự nâng quyền mà không cần sự cho phép của người dùng.
3. Trì hoãn thực thi để né sandbox (sandbox evasion)
Để đánh lừa các hệ thống phân tích mã độc tự động (sandbox), mã độc thực hiện một kỹ thuật trì hoãn: Sử dụng tiện ích "PING.EXE" để gửi hàng loạt lệnh ping tới địa chỉ 127.0.0.1. Mục tiêu là tạo ra độ trễ có chủ đích trong quá trình thực thi, khiến các hệ thống giám sát thời gian thực bỏ qua hoặc kết thúc phân tích quá sớm mà không phát hiện hành vi độc hại thực sự.4. Duy trì khả năng tự động khởi động (Persistence)
Để đảm bảo mã độc không bị mất hiệu lực sau khi máy tính khởi động lại, kẻ tấn công tạo một Scheduled Task (thường ở dạng ".url") nhằm tự động chạy lại file ".pif" mỗi khi máy bật lên. Đây là phương thức thiết lập "chân bám" (persistence) phổ biến, giúp mã độc tồn tại bền bỉ trong hệ thống mà không cần tương tác lại từ phía hacker.5. Kích hoạt Remcos RAT & ẩn mình trong hệ thống
Đến giai đoạn này, mã độc sẽ thực thi một đoạn mã ".cmd" được mã hóa và làm rối (obfuscate) bằng công cụ BatCloak, nhằm tải và cài đặt Remcos RAT – một loại trojan điều khiển từ xa cho phép hacker giám sát, ghi bàn phím, lấy file, điều khiển webcam/micro và nhiều hành vi xâm phạm khác.Để tránh bị phát hiện, mã độc tiếp tục sử dụng "extrac32.exe" (một tiện ích Windows hợp pháp) để thêm chính nó vào danh sách loại trừ (exclusion list) của Windows Defender, khiến phần mềm bảo vệ "nhắm mắt làm ngơ".
Remcos là malware thương mại, liên tục được cập nhật, được bán thông qua nền tảng đen và có khả năng điều khiển hệ thống từ xa hoàn chỉnh.
⭢ Từ một email tưởng như vô hại, chuỗi tấn công này đã âm thầm triển khai nhiều kỹ thuật phức tạp: Từ vượt UAC, né sandbox, duy trì khởi động, đến che giấu hành vi bằng công cụ Windows hợp pháp, để rồi âm thầm cấy Remcos RAT vào hệ thống. Điều này cho thấy mức độ tinh vi của các chiến dịch tấn công hiện đại, nơi công cụ hợp pháp lại trở thành vũ khí nguy hiểm và người dùng phổ thông là mục tiêu dễ bị đánh lừa nhất.
Ảnh hưởng & mức độ nguy hiểm
- Quy mô: Chiến dịch toàn cầu, file phishing gửi hàng loạt.
- Độ tinh vi: Kết hợp UAC bypass, ".pif" lỗi thời, kỹ thuật ẩn mã, inject vào tiến trình hệ thống.
- Loại tấn công: Backdoor (Remcos), lấy dữ liệu, điều khiển từ xa, ghi âm/lấy capture màn hình, keylogging.
- Phát hiện: Khó bị antivirus phát hiện, chỉ có phân tích dynamic, sandbox nâng cao mới bắt được.
Các vấn đề cần lưu ý thêm
- ".pif" là định dạng cũ nhưng vẫn chạy được trên Windows hiện đại, hacker sẽ tận dụng điều này để né cảnh báo.
- UAC bypass bằng thư mục đuôi dấu cách là kỹ thuật Living Off The Land (LOLBAS), không cần mã độc cao siêu mà vẫn vượt qua kiểm soát quyền.
- Scheduled Task giúp malware chạy lại sau mỗi khởi động, giữ persistence ngay cả khi bị xóa file chính.
- Inject vào quy trình hệ thống ******** huống phát hiện thủ công trở nên khó khăn, vì không thấy file lạ đang chạy.
Giải pháp & đề xuất bảo vệ
1. Không mở file từ nguồn không rõ
- Không click hay unzip file nặc danh, email “hóa đơn” không rõ ràng.
- Cẩn trọng với định dạng lạ, file ".pif", ".cmd", ".bat".
2. Sử dụng hệ thống sandbox hoặc môi trường ảo hóa
- Phân tích email hoặc file trước khi mở trên máy thật.
3. Update và lockdown UAC
- Vô hiệu hóa tự động nâng quyền qua thư mục giả, cấu hình theo chính sách IT.
4. Giám sát Scheduled Tasks, Defender exclusions
- Theo dõi bất thường: Task mới, ".url" bất thường, exclusions mới.
5. Dùng EDR/XDR – công cụ có khả năng phát hiện hành vi
- Chặn hành vi inject vào hệ thống, tải payload mạng bất thường, cài trap Remcos.
Mặc dù không sử dụng mã độc quá phức tạp, nhưng các chuyên gia bảo mật nhận định chiến dịch này cực kỳ tinh vi ở khâu chiến thuật từ cách ẩn mình, né tránh phần mềm phòng vệ cho đến việc khai thác thói quen bất cẩn của người dùng. Chính sự ngụy trang khéo léo này khiến nạn nhân dễ dàng bị đánh lừa và vô tình tiếp tay cho mã độc hoạt động âm thầm trong hệ thống.
Theo Cyber Press
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
