Phần mềm liên quan được ký bởi công ty Dragon Boss Solutions LLC, đơn vị phát triển một số trình duyệt như Chromstera hay Web Genius. Các phần mềm này thuộc nhóm “phần mềm không mong muốn” (PUP), tức là không phải nhiễm mã độc ngay từ đầu, nhưng thường gây phiền toái như hiển thị quảng cáo hoặc chuyển hướng trình duyệt.
Tuy nhiên, trong chiến dịch lần này, chính cơ chế cập nhật của các phần mềm này đã bị lợi dụng để tải và thực thi thêm mã độc. Cụ thể, hệ thống sẽ tự động tải về các gói cài đặt ẩn (MSI) và chạy các script PowerShell mà không cần tương tác từ người dùng, với quyền quản trị cao nhất.
Trước khi triển khai mã độc chính, chương trình sẽ “trinh sát” hệ thống: kiểm tra quyền quản trị, phát hiện môi trường máy ảo, xác nhận kết nối mạng và dò tìm các phần mềm bảo mật như Malwarebytes, Kaspersky, McAfee hay ESET.
Sau đó, một script tên ClockRemoval.ps1 sẽ tiến hành vô hiệu hóa antivirus bằng cách dừng dịch vụ, xóa file, gỡ cài đặt và chặn kết nối tới máy chủ của các hãng bảo mật. Điều này khiến người dùng không thể cài lại hoặc cập nhật phần mềm diệt virus.
Sơ đồ mô tả toàn bộ chuỗi tấn công (attack chain) của chiến dịch mã độc. – Ảnh: Huntress
Ngoài ra, hạ tầng máy chủ cập nhật chính chưa được đăng ký tên miền, đồng nghĩa với việc bất kỳ ai cũng có thể chiếm quyền và phát tán thêm mã độc nguy hiểm hơn tới các máy đã nhiễm.
Các chuyên gia khuyến cáo quản trị viên cần kiểm tra các dấu hiệu bất thường như tác vụ lạ (ClockRemoval, WMILoad), thay đổi file hosts chặn kết nối tới hãng bảo mật hoặc các tiến trình mang chữ ký của Dragon Boss Solutions. Đây có thể là dấu hiệu hệ thống đã bị xâm nhập.
