HelloTDS lây lan tới hàng triệu thiết bị thông qua FakeCaptcha

Nam Anh Mai D.Nam Anh Mai D.
5 min read

Vừa qua, trong thông báo mới nhất của mình, các nhà nghiên cứu bảo mật thuộc Gen Threat Labs đã thông báo về một cơ sở hạ tầng TDS mới (Traffic Direction System - Hệ thống điều hướng lưu lượng truy cập), chịu trách nhiệm cho các chiến dịch lừa đảo trên không gian mạng, lây lan mã độc đánh cắp thông tin tới hàng triệu thiết bị của người dùng trên toàn thế giới.

Thông tin tổng quan

Lợi dụng việc thiếu hiểu biết của người dùng về các phương pháp xác thực CAPTCHA phổ biến, từ lâu FakeCaptcha đã trở thành một trong những phương thức lây nhiễm mã độc tới người dùng được tin tặc sử dụng rộng rãi. Trong báo cáo mới nhất của mình, các nhà nghiên cứu bảo mật thuộc Gen Threat Labs đã công bố sự xuất hiện của một chiến dịch tấn công mới, phát tán mã độc đánh cắp thông tin nguy hiểm như LummaC2 tới người dùng thông qua FakeCaptcha. Theo ước tính ban đầu, chiến dịch đã thành công lây nhiễm cho hơn 4,3 triệu nạn nhân trên toàn thế giới, trong đó có người dùng tại Việt Nam.

Hình 1: Số lượng người dùng trở thành nạn nhân của chiến dịch trong tháng 4 và tháng 5 năm 2025

Thông qua điều tra số, các nhà nghiên cứu đã kết luận, đứng sau chiến dịch tấn công này là một hệ thống cốt lõi chịu trách nhiệm điều hướng lượng truy cập, có nhiệm vụ thu thập dấu vân tay thiết bị (fingerprint the visitor's device) và thông tin mạng (network detail) của nạn nhân, qua đó quyết định nội dung phản hồi nào được gửi về phía người dùng. Các nội dung phản hồi có thể là độc hại (malicious), sử dụng cho mục đích kiếm tiền (monetized), làm mồi nhử (decoy content) hoặc không chứa bất kỳ giá trị nào (no content). Do các dấu hiệu đặc trưng như trên, đội ngũ Gen Threat Labs đã đặt tên cho hệ thống này là HelloTDS.

Chuỗi tấn công

High-level overview of the HelloTDS attack chain

Hình 2: Tổng quan chuỗi tấn công của HelloTDS

Chuỗi tấn công được phân chia thành nhiều bước, theo trình tự và các bước như sau:

  1. Nạn nhân truy cập tới các trang web bị nhiễm mã độc từ trước hoặc click vào một quảng cáo độc hại.

  2. Trang web yêu cầu một tệp JavaScript chứa các thông tin dấu vân tay kết nối và nội dung phản hồi tới người dùng từ HelloTDS. Nếu người dùng truy cập ở trên không được hệ thống HelloTDS coi là "nạn nhân phù hợp" (ví dụ: người dùng sử dụng VPN hoặc kết nối ẩn danh thông qua Tor), chuỗi tấn công lập tức ngừng tại đây.

  3. Trường hợp người dùng được hệ thống đánh giá là "nạn nhân phù hợp", máy chủ trả về script có khả năng lấy dấu vân tay sâu hơn như ghi lại chuyển động chuột trên trình duyệt web của nạn nhân, đồng thời trả về người dùng một đường dẫn tới trang đích chứa mã độc.

  4. FakeCaptcha khi này đóng vai trò là trang đích chứa các phần mềm độc hại được mã hoá hoặc làm kênh trung gian chuyển tiếp cho các chiến dịch lừa đảo, phân phát mã độc khác. Các trang đích này có nhiệm vụ đánh lừa người dùng tải xuống các mã độc đánh cắp thông tin hoặc trojan có thể truy cập từ xa (RAT).

Đáng chú ý, lưu lượng truy cập đến HelloTDS từ các quảng cáo độc hại hay các trang web hợp lệ đã bị tin tặc xâm phạm chỉ chiếm một con số phần trăm rất nhỏ. Thay vào đó, lưu lượng truy cập chính tới hệ thống độc hại này lại tới từ các trang web phát trực tuyến, các website chia sẻ tệp hoặc chia sẻ torrent, các website cung cấp công cụ rút ngắn liên kết hoặc các trang web khiêu dâm. Người dùng khi truy cập tới các trang web trên thường có tâm lý bỏ qua vấn đề bảo mật, do đó tạo ra lỗ hổng lớn cho tin tặc lợi dụng và khai thác.

Khắc phục & Khuyến nghị

Cùng với sự phát triển không ngừng của công nghệ, các chiến dịch tấn công cũng phát triển theo hướng phức tạp, tinh vi hơn trên không gian mạng. FakeCaptcha cùng các chiến dịch tương đương đã và đang trở thành các mối nguy đáng kể hiện nay, do tính hướng đối tượng của chúng. Để bảo vệ bản thân trước các mối nguy hại này, người dùng nên:

  • Sử dụng phần mềm hợp lệ: Cài đặt và sử dụng các phần mềm tới từ nhà cung cấp hợp lệ. Không sử dụng các phần mềm crack hay tải xuống phần mềm từ các trang web lạ.

  • Áp dụng các biện pháp bảo mật: Cài đặt và sử dụng các phần mềm diệt virus. Sử dụng các dịch vụ giám sát hệ thống 24/7 cho hệ thống quan trọng. Bật các tiện ích chống theo dõi trên trình duyệt hoặc sử dụng các tiện ích chặn quảng cáo nhằm loại bỏ các quảng cáo điều hướng tới các trang web độc hại.

  • Nâng cao nhận thức cá nhân: Tiến hành nâng cao nhận thức cá nhân về các vấn đề liên quan tới bảo mật, an ninh mạng. Thận trọng trong việc truy cập tới các trang web chia sẻ tệp, chia sẻ torrent và phát trực tuyến như website phim. Ngoài ra, không thực hiện sao chép và dán các lệnh từ các trang web không xác định vào cửa sổ dòng lệnh của hệ điều hành.

Tham khảo

  1. Gen Blogs | Say Hi to HelloTDS: The Infrastructure Behind FakeCaptcha
0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligencecaptchacampaign

Written by

Nam Anh Mai D.
Nam Anh Mai D.