Một chiến dịch tấn công mạng tinh vi đang âm thầm diễn ra, nhắm trực tiếp vào người dùng hệ điều hành Windows thông qua chuỗi lây nhiễm nhiều lớp. Trong chiến dịch này, phần mềm độc hại Amadey được sử dụng như một mắt xích trung gian để triển khai hàng loạt mã độc đánh cắp dữ liệu nguy hiểm. Đáng chú ý, kẻ tấn công đã lợi dụng các kho lưu trữ công khai trên GitHub làm nơi phân phối payload, qua đó dễ dàng vượt qua các cơ chế lọc web và hệ thống phòng vệ truyền thống. Vụ việc một lần nữa cho thấy các nền tảng hợp pháp, nếu bị khai thác, hoàn toàn có thể trở thành công cụ phát tán mã độc hiệu quả.
Chuỗi tấn công bắt đầu bằng việc cài đặt một trình tải mã độc mang tên Emmenhtal, còn được biết đến với tên gọi PEAKLIGHT. Mã độc này được phát triển bằng ngôn ngữ AutoIt – vốn phổ biến trong các công cụ tự động hóa hợp pháp – giúp nó dễ dàng ngụy trang dưới dạng phần mềm vô hại. Emmenhtal được đóng gói kèm theo các thư viện DLL tùy biến nhằm thực hiện nhiều kỹ thuật né tránh, bao gồm giám sát tiến trình hệ thống, che giấu lưu lượng mạng và làm chậm quá trình phân tích của các chuyên gia bảo mật. Sau khi được thực thi, Emmenhtal thiết lập kết nối tới máy chủ điều khiển từ xa, tải về mã độc Amadey và kích hoạt thông qua tiện ích mshta.exe có sẵn trong Windows. Việc tận dụng các thành phần hợp pháp của hệ điều hành giúp kẻ tấn công giảm đáng kể nguy cơ bị phần mềm bảo mật phát hiện.
Sau khi được triển khai, Amadey không trực tiếp thực hiện các hành vi tấn công phức tạp mà đóng vai trò như một nền tảng trung gian, tương tự một “hệ điều hành thu nhỏ” dành riêng cho mã độc. Amadey có khả năng tải, quản lý và kích hoạt các plugin độc hại theo yêu cầu. Mỗi plugin đảm nhiệm một chức năng riêng biệt, từ đánh cắp thông tin đăng nhập trình duyệt, trích xuất dữ liệu email, thu thập thông tin FTP và VPN cho đến chụp màn hình người dùng theo thời gian thực. Trong chiến dịch lần này, Amadey được cấu hình để kết nối trực tiếp tới các kho lưu trữ công khai trên GitHub nhằm tải về các thành phần độc hại bổ sung, thay vì sử dụng hạ tầng máy chủ C2 truyền thống vốn dễ bị phát hiện và chặn đứng.
Nhóm tấn công đã sử dụng ít nhất ba tài khoản GitHub công khai gồm Legendary99999, DFfe9ewf và Milidmdds để lưu trữ mã độc. Các kho này chứa nhiều tệp thực thi (.exe), thư viện (.dll) và script PowerShell, được sử dụng như plugin mở rộng cho Amadey hoặc làm payload độc lập. Đặc biệt nguy hiểm là sự xuất hiện của các stealer nổi tiếng như Lumma Stealer, RedLine Stealer và Rhadamanthys – những công cụ chuyên đánh cắp cookie đăng nhập, dữ liệu trình duyệt, thông tin ví tiền điện tử và nhiều dữ liệu nhạy cảm khác. Việc tích hợp các stealer này giúp kẻ tấn công tối đa hóa giá trị khai thác từ mỗi hệ thống bị xâm nhập.
Một kỹ thuật đáng chú ý khác trong chiến dịch là việc sử dụng các tệp văn bản .txt trên GitHub như một bảng điều khiển từ xa đơn giản. Các tệp này chứa danh sách URL trỏ tới các payload thực sự, cho phép kẻ tấn công linh hoạt thay đổi chuỗi tải xuống mà không cần cập nhật lại mã Amadey đã cài đặt trên máy nạn nhân. Cách tiếp cận này vừa giúp duy trì khả năng điều phối chiến dịch, vừa che giấu hành vi độc hại dưới dạng dữ liệu văn bản thông thường, khiến quá trình phát hiện trở nên khó khăn hơn.
Tổng thể, chiến dịch cho thấy mức độ rủi ro ngày càng gia tăng khi các nền tảng hợp pháp như GitHub bị lạm dụng cho mục đích phát tán mã độc. Việc tin tưởng tuyệt đối vào nguồn tải xuống, chỉ dựa trên uy tín bề ngoài của nền tảng, có thể tạo ra lỗ hổng nghiêm trọng trong hệ thống phòng thủ. Đây là lời cảnh báo rõ ràng rằng cả người dùng cá nhân lẫn tổ chức cần nâng cao cảnh giác, tăng cường giám sát hành vi mạng và đánh giá kỹ lưỡng mọi tệp tin, kể cả khi chúng đến từ những nguồn tưởng chừng an toàn.
