Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch lừa đảo tinh vi, phát tán trojan truy cập từ xa MostereRAT. Đây là một biến thể malware ngân hàng, được nâng cấp với khả năng plugin-based extensibility, cho phép mở rộng chức năng và kiểm soát toàn diện hệ thống bị xâm nhập. Theo Fortinet FortiGuard Labs, chiến dịch này tích hợp nhiều kỹ thuật né tránh và điều khiển nâng cao nhằm vượt qua các công cụ bảo mật, đánh cắp dữ liệu nhạy cảm và duy trì sự hiện diện lâu dài trong hệ thống.

MostereRAT: Khi trojan truyền thống tiến hóa thành công cụ đa năng

Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một chiến dịch lừa đảo tinh vi, phát tán trojan truy cập từ xa có tên MostereRAT. Ban đầu là một malware ngân hàng, biến thể mới này đã được nâng cấp thành một công cụ tấn công đa năng, có khả năng mở rộng chức năng qua các plugin phụ trợ, giúp kẻ tấn công chiếm quyền kiểm soát toàn diện hệ thống bị xâm nhập và đánh cắp dữ liệu nhạy cảm.

Theo Fortinet FortiGuard Labs, chiến dịch này thể hiện rõ xu hướng kết hợp giữa malware truyền thống và kỹ thuật tấn công nâng cao, nhằm né tránh các biện pháp phòng thủ hiện có.

Một trong những điểm đặc biệt của MostereRAT là việc sử dụng EPL (Easy Programming Language) – ngôn ngữ ít phổ biến và chủ yếu dành cho người dùng châu Á – để phát triển payload theo từng giai đoạn. Cách tiếp cận này cho phép che giấu hoạt động độc hại, đồng thời vô hiệu hóa các công cụ bảo mật như AnyDesk, TigerVNC hay TightVNC.

Malware còn sử dụng mutual TLS (mTLS) để bảo mật kênh C2 (Command & Control) và triển khai các kỹ thuật tương tự công cụ red-team EDRSilencer, thao túng Windows Filtering Platform (WFP) để chặn các dữ liệu log, cảnh báo và telemetry, từ đó vượt qua hệ thống EDR/XDR. Đặc biệt, MostereRAT có thể chạy dưới quyền TrustedInstaller, một tài khoản hệ thống có đặc quyền cao, cho phép nó can thiệp trực tiếp vào Registry, xóa file hệ thống và thực hiện thay đổi sâu trong Windows internals.

Chuyên gia VSEC nhận định: “Việc kết hợp các kỹ thuật né tránh nâng cao như WFP tampering, TrustedInstaller abuse và prompt injection đã đẩy độ phức tạp của việc phát hiện, ngăn chặn và phân tích lên một mức mới. Điều này không chỉ thách thức các công cụ phòng thủ truyền thống mà còn đòi hỏi tổ chức phải áp dụng cách tiếp cận đa tầng, từ cập nhật giải pháp công nghệ đến tăng cường huấn luyện nhận thức an ninh cho người dùng trước các kỹ thuật tấn công phi kỹ thuật.”

Khi tấn công phi kỹ thuật được nâng cấp

Song song với MostereRAT, các chuyên gia còn phát hiện một chiến dịch khác khai thác kỹ thuật ClickFix để phân phối MetaStealer – phần mềm đánh cắp thông tin nhắm vào người dùng tìm kiếm ứng dụng như AnyDesk. Chuỗi lây nhiễm được triển khai chủ yếu thông qua email giả mạo các yêu cầu công việc, nhắm mục tiêu vào người dùng Nhật Bản. Khi nạn nhân nhấp vào liên kết, họ sẽ được dẫn đến website độc hại chứa tệp Word có nhúng file ZIP.

Khi file này được mở, một executable sẽ kích hoạt quá trình triển khai MostereRAT. Sau khi xâm nhập, malware thực hiện gián điệp bằng cách ghi lại thao tác bàn phím, giám sát ứng dụng thương mại điện tử Qianniu của Alibaba, thu thập thông tin hệ thống, chụp ảnh màn hình, tải shellcode và thậm chí tạo tài khoản quản trị viên ẩn để duy trì quyền truy cập lâu dài. Các kỹ thuật như DLL injection hay Early Bird Injection cũng được sử dụng nhằm mở rộng khả năng kiểm soát.

Song song với MostereRAT, các nhà nghiên cứu cũng ghi nhận sự xuất hiện của một chiến dịch khác khai thác kỹ thuật ClickFix để phát tán malware MetaStealer. Trong kịch bản này, kẻ tấn công dựng một trang Cloudflare Turnstile giả mạo, khiến người dùng tin rằng họ đang tải phần mềm AnyDesk.

Khi người dùng nhấp chọn xác minh, một cửa sổ Windows File Explorer được mở ra, khai thác cơ chế URI handler search-ms: để hiển thị file LNK giả dạng PDF. Khi được kích hoạt, LNK này khởi chạy chuỗi thực thi, cuối cùng tải xuống gói MSI chứa MetaStealer. Theo Huntress, ưu điểm của phương pháp này là tận dụng hành vi thủ công của người dùng, biến quá trình xác minh thành công cụ hợp thức hóa lây nhiễm, giúp vượt qua nhiều lớp bảo mật truyền thống.

Đáng chú ý là sự kết hợp giữa AI và ClickFix, trong đó attacker lợi dụng CSS-based obfuscation để nhúng prompt ẩn vào nội dung HTML. Bằng cách sử dụng chiến lược prompt dose – làm quá tải ngữ cảnh của mô hình ngôn ngữ (LLM) bằng dữ liệu độc hại – kẻ tấn công có thể kiểm soát output của AI. Khi các ứng dụng như email client, browser extension hay productivity platform sử dụng AI để tóm tắt nội dung, prompt injection này sẽ âm thầm chèn hướng dẫn độc hại, mở đường cho các kịch bản như ransomware.

Theo đánh giá của chuyên gia VSEC, sự kết hợp giữa AI-driven malware, social engineering và kỹ thuật né tránh nâng cao tạo nên một thế hệ mối đe dọa mới, khó phát hiện và phòng thủ hơn rất nhiều. Các tổ chức cần triển khai kiến trúc Zero Trust để giới hạn lateral movement, đồng thời nâng cấp hệ thống EDR/XDR với khả năng phát hiện hành vi bất thường.

Ngoài ra, doanh nghiệp cũng cần nâng cao nhận thức người dùng, chủ động nhận diện các hình thức tấn công lừa đảo tinh vi, sử dụng dụng các giải pháp email security tích hợp AI/ML và tiến hành threat hunting định kỳ để phát hiện các hành vi bất thường như DLL injection hoặc các dấu hiệu xâm nhập hệ thống.