Gần 1 triệu thiết bị Windows bị nhắm mục tiêu trong một chiến dịch 'quảng cáo độc hại' (malvertising) tinh vi

Tác giả tanthanh 14/02/2026 8 phút đọc

Microsoft cho biết gần 1 triệu thiết bị Windows đã trở thành mục tiêu trong những tháng gần đây bởi một chiến dịch “malvertising” tinh vi, lén lút đánh cắp thông tin đăng nhập, tiền điện tử và các thông tin nhạy cảm khác từ các máy bị nhiễm.

Chiến dịch bắt đầu vào tháng 12, khi những kẻ tấn công, vẫn chưa được biết đến, đã gieo mầm các trang web có liên kết tải xuống quảng cáo từ các máy chủ độc hại. Các liên kết dẫn các máy được nhắm mục tiêu thông qua một số trang web trung gian cho đến khi cuối cùng đến các kho lưu trữ trên GitHub thuộc sở hữu của Microsoft, nơi lưu trữ một loạt tệp độc hại.

Chuỗi sự kiện

Phần mềm độc hại được tải theo bốn giai đoạn, mỗi giai đoạn đóng vai trò là khối xây dựng cho giai đoạn tiếp theo. Giai đoạn đầu thu thập thông tin thiết bị, có lẽ là để điều chỉnh cấu hình cho những giai đoạn sau. Những thiết bị sau này đã vô hiệu hóa các ứng dụng phát hiện phần mềm độc hại và kết nối với máy chủ ra lệnh và kiểm soát; các thiết bị bị ảnh hưởng vẫn bị nhiễm ngay cả sau khi được khởi động lại.

“Tùy thuộc vào tải trọng giai đoạn hai, một hoặc nhiều tệp thực thi được thả vào thiết bị bị xâm phạm và đôi khi là tập lệnh PowerShell được mã hóa đi kèm,” Các nhà nghiên cứu của Microsoft viết thứ năm. “Các tệp này bắt đầu một chuỗi sự kiện tiến hành thực thi lệnh, phân phối tải trọng, trốn tránh phòng thủ, liên tục, liên lạc C2 và lọc dữ liệu.”

Chiến dịch nhắm tới “gần ” 1 triệu thiết bị thuộc cả cá nhân và nhiều tổ chức, ngành công nghiệp. Cách tiếp cận bừa bãi cho thấy chiến dịch này mang tính cơ hội, nghĩa là nó cố gắng gài bẫy bất kỳ ai, thay vì nhắm mục tiêu vào một số cá nhân, tổ chức hoặc ngành nhất định. GitHub là nền tảng chủ yếu được sử dụng để lưu trữ các giai đoạn tải trọng độc hại, nhưng Discord và Dropbox cũng được sử dụng.

Phần mềm độc hại định vị tài nguyên trên máy tính bị nhiễm và gửi chúng đến máy chủ c2 của kẻ tấn công. Dữ liệu được lọc bao gồm các tệp trình duyệt sau, có thể lưu trữ cookie đăng nhập, mật khẩu, lịch sử duyệt web và dữ liệu nhạy cảm khác.

\AppData\Roaming\Mozilla\Firefox\Profiles\.default-release\cookies.sqlite
\AppData\Roaming\Mozilla\Firefox\Profiles\.default-release\formhistory.sqlite
\AppData\Roaming\Mozilla\Firefox\Profiles\.default-release\key4.db
\AppData\Roaming\Mozilla\Firefox\Profiles\.default-release\logins.json
\AppData\Local\Google\Chrome\User Data\Default\Web Data
\AppData\Local\Google\Chrome\User Data\Default\Login Data
\AppData\Local\Microsoft\Edge\User Data\Default\Login Data

Các tệp được lưu trữ trên dịch vụ đám mây OneDrive của Microsoft cũng được nhắm mục tiêu. Microsoft cho biết phần mềm độc hại cũng đã kiểm tra sự hiện diện của các ví tiền điện tử bao gồm Ledger Live, Trezor Suite, KeepKey, BCVault, OneKey và BitBox, “cho thấy khả năng bị đánh cắp dữ liệu tài chính.

Microsoft cho biết họ nghi ngờ các trang web lưu trữ quảng cáo độc hại là các nền tảng phát trực tuyến cung cấp nội dung trái phép. Hai trong số các tên miền là movies7[.]net và 0123movie[.]art.

Microsoft Defender hiện phát hiện các tệp được sử dụng trong cuộc tấn công và có khả năng các ứng dụng phòng thủ phần mềm độc hại khác cũng làm như vậy. Bất cứ ai nghĩ rằng họ có thể đã được nhắm mục tiêu có thể kiểm tra các chỉ số thỏa hiệp ở cuối bài đăng của Microsoft. Bài đăng bao gồm các bước người dùng có thể thực hiện để ngăn chặn trở thành nạn nhân của các chiến dịch quảng cáo độc hại tương tự.