Tên miền giá 10 đô la có thể giúp tin tặc chiếm quyền kiểm soát 25.000 thiết bị, bao gồm mạng lưới chính phủ và OT

Các nhà nghiên cứu tại Huntress mới đây đã phát hiện một mối đe dọa tinh vi ẩn giấu trong một phần mềm được xem là adware (phần mềm quảng cáo). Phát hiện đáng báo động này cho thấy một tên miền chưa được đăng ký, với chi phí chỉ khoảng 10 USD, có thể đã trao quyền kiểm soát thầm lặng cho các tác nhân độc hại đối với hơn 25.000 thiết bị cuối (endpoint) trên toàn thế giới.

Mối đe dọa an ninh mạng

Phần mềm nằm trung tâm của cuộc điều tra này được ký kỹ thuật số bởi Dragon Boss Solutions, một đơn vị tự mô tả自己是 công ty nghiên cứu kiếm tiền từ tìm kiếm có trụ sở tại Các Tiểu vương quốc Ả Rập Thống nhất. Trước đây, phần mềm này được phân loại là chương trình không mong muốn (PUP) với khả năng cướp quyền điều khiển trình duyệt. Tuy nhiên, phân tích sâu hơn từ Huntress cho thấy nó đã âm thầm tiến hóa thành thứ nguy hiểm hơn nhiều.

Sự tiến hóa của phần mềm độc hại

Bắt đầu từ tháng 3 năm 2025, các nhà phân tích của Huntress đã quan sát thấy phần mềm này triển khai một tải trọng (payload) dựa trên PowerShell chạy với các đặc quyền nâng cao. Mục tiêu của nó là vô hiệu hóa các sản phẩm bảo mật, chặn máy chủ cập nhật của chúng và ngăn chặn việc cài đặt lại các giải pháp bảo vệ.

Malware đạt được tính bền vững (persistence) thông qua năm tác vụ lập lịch và đăng ký sự kiện WMI có thể tồn tại qua quá trình khởi động lại máy. Nó còn thêm các ngoại lệ cho Windows Defender tại các thư mục được sử dụng để chứa các tải trọng trong tương lai, có thể bao gồm phần mềm đào tiền ảo (cryptominer), mã độc tống tiền (ransomware) hoặc phần mềm đánh cắp thông tin (infostealer).

Lỗ hổng tên miền giá rẻ

Phát hiện đáng lo ngại nhất nằm trong cấu hình cập nhật của phần mềm. Tên miền chính được sử dụng để phân phối các cập nhật tải trọng (chromsterabrowser[.]com) thực tế chưa được đăng ký. Bất kỳ ai mua lại tên miền này đều có thể phục vụ mã độc tùy ý cho mọi máy chủ bị ảnh hưởng mà không cần khai thác lỗ hổng nào thêm, vì tính năng chống virus đã bị vô hiệu hóa trên những máy này.

Huntress đã nhanh chóng đăng ký tên miền này trước khi kẻ xấu có thể thực hiện hành động, hướng nó về một sinkhole (bẫy DNS) và theo dõi kết quả. Kết quả cho thấy khoảng 25.000 địa chỉ IP duy nhất — đại diện cho các thiết bị thực trong môi trường sản xuất đang tìm kiếm hướng dẫn cập nhật — đã kết nối đến.

Quy mô và mục tiêu bị ảnh hưởng

Các ca nhiễm bệnh lan rộng trên 124 quốc gia, trong đó Mỹ chiếm hơn 12.000 máy chủ, tiếp theo là Pháp, Canada, Anh và Đức, mỗi quốc gia có khoảng 2.000 máy chủ.

Quy mô nhiễm bệnh tại các mục tiêu có giá trị cao đặc biệt gây quan ngại. Trong số các máy chủ được quan sát, 324 máy thuộc về các mạng lưới nhạy cảm, bao gồm 221 trường đại học và cao đẳng, 41 mạng công nghệ vận hành (OT), 35 thực thể chính phủ và 3 tổ chức y tế.

Các mạng OT được xác định thuộc về các tiện ích điện, nhà cung cấp vận tải, hợp tác xã điện lực và cơ sở hạ tầng quan trọng. Nhiều công ty thuộc danh sách Fortune 500 cũng được xác định nằm trong số các mạng bị ảnh hưởng.

Huntress đã kêu gọi các tổ chức chủ động tìm kiếm các dấu hiệu bị xâm phạm (IoCs) để phát hiện tác động tiềm ẩn từ chiến dịch này.