Một chiến dịch tấn công có chủ đích (APT) mới vừa được phát hiện, sử dụng định dạng tệp lỗi thời .PIF cùng các kỹ thuật vượt qua kiểm soát tài khoản người dùng (UAC Bypass) để triển khai phần mềm gián điệp điều khiển từ xa Remcos trên nền tảng Windows. Tin tặc sử dụng tệp .PIF – một định dạng vốn được thiết kế cho các chương trình DOS thời kỳ đầu – như vỏ bọc cho mã thực thi độc hại. Tin tặc sử dụng một tập tin có tên alpha.pif, được biên dịch dưới định dạng PE (Portable Executable), để che giấu payload chính.
Chiến dịch này lợi dụng lỗ hổng xử lý tên thư mục của Windows bằng cách tạo ra các thư mục giả mạo như C:\Windows (với dấu cách ở cuối). Cách thức này khiến hệ điều hành nhầm lẫn và cho phép mã độc thực thi với quyền nâng cao mà không hiển thị cảnh báo UAC – cơ chế phòng vệ mặc định của Windows chống lại thực thi trái phép.
Kỹ thuật giả lập độ trễ thời gian tiếp tục được sử dụng nhằm tránh các hệ thống phát hiện dựa trên thời gian thực. Theo đó, mã độc lợi dụng PING.EXE để thực hiện lệnh ping đến địa chỉ loopback (127.0.0.1) liên tục nhiều lần, từ đó trì hoãn việc thực thi – một chiêu thức đơn giản nhưng hiệu quả trong việc né tránh các hệ thống phân tích hành vi động.
Để thiết lập cơ chế tồn tại lâu dài (persistence), tin tặc tạo scheduled task trỏ đến một tập tin .url – Cmwdnsyn.url – từ đó khởi chạy lại tập tin .pif. Mã độc cũng sử dụng công cụ extrac32.exe nhằm thao túng danh sách loại trừ (exclusion list) của Windows Defender, khiến hệ thống bảo vệ này không thể phát hiện hoặc can thiệp.
Sau khi được triển khai thành công, trojan Remcos sẽ thực hiện tiêm mã độc vào các tiến trình hệ thống hợp pháp như SndVol.exe hoặc colorcpl.exe. Việc thay đổi mục tiêu tiến trình theo từng phiên bản giúp mã độc “hòa mình” vào hoạt động bình thường của hệ thống, gây khó khăn cho cả chuyên gia lẫn các hệ thống phát hiện tự động.
Chiến dịch cho thấy một xu hướng đáng lo ngại: tin tặc đang kết hợp nhiều kỹ thuật tấn công cũ và mới – từ định dạng lỗi thời, kỹ thuật che giấu cao, đến lạm dụng hành vi mặc định của hệ điều hành – để vượt qua các lớp bảo mật hiện đại. Theo Any.Run, các kỹ thuật được sử dụng trong chiến dịch này hoàn toàn có thể được tái sử dụng và nâng cấp bởi các nhóm tin tặc khác, mở rộng quy mô tấn công lên diện rộng.
Các tổ chức cần chủ động rà soát các quy trình xử lý tệp tin, đặc biệt với những định dạng không còn phổ biến. Việc cập nhật hệ thống phát hiện hành vi (Behavioral Detection), triển khai sandbox phân tích động, và kiểm tra định kỳ bằng phương pháp kiểm thử xâm nhập (penetration testing) sẽ giúp kịp thời nhận diện các mối đe dọa tương tự.
