Theo Công ty An ninh mạng ReliaQuest (Mỹ), một loại phần mềm độc hại mới vừa được phát hiện có khả năng đánh cắp thông tin đăng nhập và chặn các tương tác trình duyệt, hiện đã phát tán bằng kỹ thuật ClickFix trong các cuộc tấn công mạng.
Được đặt tên là DeepLoad, phần mềm độc hại này xuất hiện trên một diễn đàn tội phạm mạng trên dark web vào đầu tháng 02/2026, khi nền tảng ZeroFox phát hiện nó được quảng cáo là “một bảng điều khiển tập trung cho nhiều loại phần mềm độc hại”.
Mối đe dọa này được mô tả là có khả năng thay thế các ứng dụng ví tiền điện tử và tiện ích mở rộng trình duyệt bằng các phiên bản giả mạo, đánh cắp thông tin đăng nhập của nạn nhân và cài đặt tiện ích mở rộng trình duyệt độc hại.
Vào tháng 02/2026, ZeroFox cho biết: “Thiết kế của DeepLoad tập trung rõ ràng vào việc chủ động tạo điều kiện cho hành vi đánh cắp tiền điện tử theo thời gian thực, điều này gần như chắc chắn khiến nó trở thành một loại mã độc mới “hấp dẫn” trong môi trường tội phạm mạng dưới dạng dịch vụ (CaaS)”. Giờ đây, ReliaQuest cho biết họ đã phát hiện chiến dịch phát tán DeepLoad đầu tiên trên thực tế vào các hệ thống Windows, thông qua kỹ thuật ClickFix tinh vi.
Trong chiến dịch này, các nạn nhân nhận được các thông báo lỗi trình duyệt giả mạo, hướng dẫn họ dán một lệnh vào Windows Run hoặc cửa sổ dòng lệnh (terminal) để giải quyết một vấn đề giả mạo. Lệnh này dẫn đến việc thực thi liên tục một PowerShell loader, từ đó cài đặt DeepLoad vào hệ thống.
Các nhà nghiên cứu phát hiện mã độc có khả năng tạo ra các thành phần (component) bổ sung, dưới dạng một tệp DLL và nằm trong thư mục Temp. Được biên dịch trong mỗi lần thực thi và lưu trữ với tên tệp khác nhau, do đó tệp DLL này có thể ngụy trang và tránh được sự phát hiện từ các giải pháp bảo mật.
ReliaQuest lưu ý: “Loader cũng tự xóa dấu vết bằng cách vô hiệu hóa lịch sử lệnh PowerShell và gọi trực tiếp các hàm core của Windows thay vì dựa vào các lệnh tích hợp sẵn của PowerShell, âm thầm né tránh hầu hết các cơ chế giám sát phổ biến nhất”.
Để xâm nhập vào các hoạt động đáng tin cậy của Windows, DeepLoad đã được chèn vào bên trong tiến trình quản lý màn hình khóa hợp pháp LockAppHost[.]exe, bằng cách sử dụng Asynchronous Procedure Call (APC) injection.
ReliaQuest chỉ ra rằng phương pháp này cho phép phần mềm độc hại tránh bị phát hiện vì tiến trình được chèn vào thường không được các công cụ bảo mật giám sát, và vì payload thực thi trong bộ nhớ mà không có payload đã giải mã được ghi vào ổ đĩa.
DeepLoad có chức năng đánh cắp thông tin đăng nhập của nạn nhân ngay từ giai đoạn ban đầu, thông qua một phần mềm đánh cắp thông tin đăng nhập độc lập được thực thi song song với loader chính. Việc đánh cắp cũng được tách biệt khỏi quá trình liên lạc với máy chủ điều khiển và ra lệnh (C2) của loader.
Ngoài ra, DeepLoad sẽ cài đặt một tiện ích mở rộng trình duyệt giả mạo để chặn mọi hoạt động của người dùng, khiến mọi thứ từ thông tin đăng nhập đang hoạt động và các tab đang mở đến phiên token và mật khẩu đã lưu đều có thể gặp rủi ro.
Công ty an ninh mạng cũng quan sát thấy phần mềm độc hại lây nhiễm qua ổ USB, mặc dù họ không thể xác định liệu chức năng này được triển khai bên trong DeepLoad hay do người điều hành dàn dựng.