Google DoubleClick bị lợi dụng trong chiến dịch Malspam mới để phát tán DesckVB RAT

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch malspam mới sử dụng tên miền DoubleClick của Google nhằm vượt qua các hệ thống phát hiện và phát tán mã độc DesckVB RAT. Trước khi nạn nhân tiếp cận cơ sở hạ tầng do kẻ tấn công kiểm soát, mồi nhử sẽ chuyển hướng qua DoubleClick, một tên miền hợp pháp do Google sở hữu.
Mã độc lợi dụng Google DoubleClick
Chiến dịch malspam mới lợi dụng các dịch vụ của Google để phát tán mã độc

Các nhà nghiên cứu an ninh mạng đã gắn cờ một chiến dịch malspam mới sử dụng tên miền DoubleClick của Google như một cách để tránh bị phát hiện và cuối cùng là phát tán một trojan truy cập từ xa (RAT) có tên là DesckVB RAT.

"Trước khi nạn nhân tiếp cận cơ sở hạ tầng do kẻ tấn công kiểm soát, mồi nhử sẽ chuyển hướng qua DoubleClick, một tên miền hợp pháp do Google sở hữu mà nhiều công cụ bảo mật ít có khả năng coi là đáng ngờ", các nhà nghiên cứu của Huntress là Anna Pham và Adam Mooney cho biết trong một báo cáo chia sẻ với The Hacker News.
"Từ đó, nạn nhân được chuyển vào một bộ malspam tự cá nhân hóa dựa trên địa chỉ email của nạn nhân, tự động kéo thương hiệu công ty và thông tin chi tiết về vị trí để làm cho trang web trở nên thuyết phục mà không yêu cầu người điều hành phải tạo mồi nhử thủ công cho từng mục tiêu."

Điều làm cho cuộc tấn công này đáng chú ý là nó loại bỏ nhu cầu phải có một bộ công cụ riêng biệt cho từng tổ chức bị nhắm mục tiêu, từ đó làm cho các hoạt động này có khả năng mở rộng hơn và tiết kiệm chi phí hơn. Mục tiêu cuối cùng của chiến dịch là cài đặt DesckVB RAT, một trojan dựa trên .NET đã hoạt động từ tháng 2 năm 2026.

Chuỗi lây nhiễm tinh vi

Cuộc tấn công bắt đầu khi một người dùng không nghi ngờ mở một tệp HTML đính kèm trong email phishing. Tệp này kích hoạt chuyển hướng trình duyệt meta-refresh đến URL theo dõi lượt nhấp chuột của Google DoubleClick Campaign Manager, từ đó người dùng được hướng tới một trình chuyển hướng khác, trình này sẽ giải mã địa chỉ email được mã hóa Base64 và dẫn nạn nhân đến một trang đích có nút "Download PDF".

Việc nhấp vào nút này khiến máy chủ phản hồi bằng một tệp lưu trữ ZIP khởi đầu cho phần còn lại của chuỗi lây nhiễm. Điều này được thực hiện thông qua một JavaScript loader, có nhiệm vụ chính là truy xuất và thực thi một .NET RAT trong khi vẫn ẩn mình. Tập lệnh này trích xuất và chạy một tập lệnh PowerShell, sau đó tải một .NET loader từ một máy chủ bên ngoài.

Trình loader đóng vai trò là một stager xác minh rằng nó không bị phân tích, vô hiệu hóa các kiểm soát bảo mật của máy, thiết lập sự duy trì (persistence), và cuối cùng tải xuống và chạy payload RAT bằng một kỹ thuật gọi là process hollowing, liên quan đến việc tiêm mã độc vào các tiến trình được Microsoft ký tên.

Sơ đồ chiến dịch malspam
Phân tích chuỗi phân phối mã độc DesckVB RAT

Khả năng của DesckVB RAT và cách phòng chống

Sau khi được khởi chạy, trojan giao tiếp với máy chủ command-and-control (C2) qua các socket TCP thô, thực hiện trinh sát hệ thống và cấu hình các loại trừ cho Microsoft Defender. Trojan cũng vá Antimalware Scan Interface (AMSI) và Event Tracing for Windows (ETW) ở cấp độ API gốc ngay từ đầu nhằm làm mù hệ thống đo lường từ xa của Windows trước khi thiết lập sự duy trì trên máy chủ bằng cách thiết lập các mục Registry Run và RunOnce, cùng với việc đặt một trình tải chịu trách nhiệm khởi chạy RAT trong thư mục Startup của người dùng.

Mã độc đi kèm với các khả năng trích xuất dữ liệu, chạy lệnh và triển khai các payload bổ sung, cấp cho những kẻ tấn công toàn quyền kiểm soát các máy bị nhiễm, đồng thời thực hiện các bước để ẩn mình bằng cách chấm dứt và khởi động lại máy nếu nó phát hiện ra công cụ phân tích hoặc xác định rằng nó đang chạy trong môi trường sandbox.

"Đây là một lời nhắc nhở mạnh mẽ về lý do tại sao phòng thủ theo chiều sâu lại quan trọng", Huntress cho biết. "Việc cấu hình Group Policy Object (GPO) trong Active Directory để buộc các tệp tập lệnh như .vbs, .hta và .js mở trong Notepad theo mặc định có thể ngăn chặn kẻ tấn công ngay từ giai đoạn đầu tiên, ngăn không cho các payload bổ sung được tải xuống."
"Về mặt an ninh email, các tổ chức nên xem xét triển khai các bản ghi DMARC, DKIM và SPF để giảm khả năng email giả mạo hoặc độc hại tiếp cận người dùng cuối. Ngoài ra, giải pháp cổng email có khả năng sandbox các tệp đính kèm và liên kết trước khi gửi sẽ thêm một lớp bảo vệ có ý nghĩa khác."