Chiến Dịch Phát Tán Malware StealIt Qua Các Chương Trình Game Và Phần mềm VPN

Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, một chiến dịch phần mềm độc hại mới mang tên StealIt đang thu hút sự chú ý của các chuyên gia an ninh mạng toàn cầu. Malware này, được thiết kế để đánh cắp thông tin nhạy cảm và kiểm soát từ xa thiết bị nạn nhân, đang được phân phối qua các trình cài đặt giả mạo cho game và VPN trên các nền tảng chia sẻ file phổ biến như MediaFire và Discord. Chiến dịch này khai thác các tính năng thử nghiệm của Node.js để tránh phát hiện, đánh dấu sự tiến hóa đáng báo động trong cách thức tấn công của tội phạm mạng. Theo các báo cáo từ các nguồn uy tín, StealIt không chỉ nhắm đến dữ liệu cá nhân mà còn có khả năng triển khai ransomware, khiến nó trở thành mối đe dọa nghiêm trọng đối với người dùng cá nhân và tổ chức.

Tổng Quan

StealIt là một loại phần mềm độc hại thuộc dạng infostealer (đánh cắp thông tin) kết hợp với RAT (Remote Access Trojan), cho phép kẻ tấn công kiểm soát từ xa thiết bị nạn nhân. Malware này được bán công khai dưới dạng dịch vụ trên các nền tảng ngầm, với giá khoảng 500 USD cho phiên bản Windows trọn đời và 2.000 USD cho Android. Trang web kiểm soát (C2) của nó, ban đầu nằm tại stealituptaded[.]lol, đã chuyển sang iloveanimals[.]shop – một trang giả mạo như dịch vụ "giải pháp trích xuất dữ liệu chuyên nghiệp" với các video hướng dẫn và gói đăng ký.

Các khả năng chính của StealIt bao gồm:

Đánh cắp dữ liệu: Thu thập thông tin từ trình duyệt dựa trên Chromium (như Google Chrome, Microsoft Edge, Brave), bao gồm mật khẩu, cookie, lịch sử duyệt web. Ngoài ra, nó nhắm đến dữ liệu từ các ứng dụng game (Steam, Minecraft, Growtopia, Epic Games Launcher), ứng dụng nhắn tin (WhatsApp, Telegram), và ví tiền điện tử (Atomic, Exodus, cùng các extension như MetaMask).
Kiểm soát từ xa: Xem màn hình thời gian thực, truy cập webcam, phát âm thanh hoặc nhạc từ xa, thay đổi hình nền desktop, và thực thi lệnh CMD.
Tính năng lừa đảo: Gửi thông báo giả mạo, chat trực tiếp với nạn nhân qua panel ransom, và tải lên/tự động chạy các payload độc hại khác.
Triển khai ransomware: Hỗ trợ mã hóa file và đòi tiền chuộc, với các file như Encrypted_files.txt được sử dụng trong quá trình.

Fortinet FortiGuard Labs đánh giá mức độ nghiêm trọng của StealIt ở mức trung bình, nhưng khả năng kiểm soát toàn diện thiết bị làm tăng rủi ro cho các tổ chức, vì dữ liệu bị đánh cắp có thể được sử dụng cho các cuộc tấn công tiếp theo. Chiến dịch này được quảng bá qua kênh Telegram "StealitPublic", với liên hệ @deceptacle, cho thấy đây là một hoạt động thương mại hóa phần mềm độc hại.

Cách Lan Truyền Và Nhiễm Độc

Chiến dịch StealIt tận dụng các trình cài đặt giả mạo cho game và VPN, được đóng gói dưới dạng file PyInstaller hoặc lưu trữ nén, và tải lên MediaFire hoặc Discord. Người dùng thường bị lừa tải về khi tìm kiếm phần mềm miễn phí hoặc tối ưu hóa game.

Quá trình nhiễm độc diễn ra qua nhiều lớp:

Tải xuống và thực thi: File thực thi (khoảng 85MB) sử dụng tính năng Single Executable Application (SEA) thử nghiệm của Node.js để nhúng script độc hại mà không cần cài đặt Node.js. Script được mã hóa và giải mã trong bộ nhớ, sử dụng công cụ mã nguồn mở AngaBlue.
Kiểm tra chống phân tích: Malware kiểm tra môi trường ảo (VM), bộ nhớ RAM/CPU, tên host/username, file đáng ngờ (liên quan đến VMware/VirtualBox), thời gian thực thi, quy trình chạy (như Wireshark, x64dbg), cổng mạng, registry, DLL, và quy trình cha. Nếu phát hiện, nó tự hủy.
Cài đặt thành phần: Tải về các file nén Brotli từ C2 (như save_data.exe, stats_db.exe, game_cache.exe), giải nén và chạy. Thêm thư mục vào danh sách loại trừ của Windows Defender qua PowerShell.
Duy trì: Tạo script startup.vbs trong thư mục Startup để chạy tự động khi khởi động máy.

Gần đây, các mẫu mới quay lại sử dụng framework Electron với mã hóa AES-256-GCM, nhưng chức năng tương tự. Fortinet phát hiện chiến dịch này khi điều tra sự gia tăng các script Visual Basic dùng để duy trì.

Hậu Quả Và Rủi Ro

Khi nhiễm, StealIt gửi thông tin nạn nhân (tên người dùng, HWID, khóa xác thực 12 ký tự) đến C2 qua POST request. Dữ liệu bị đánh cắp từ các đường dẫn quan trọng như Desktop, Documents, Downloads, và có thể dẫn đến mất tài khoản, trộm tiền điện tử, hoặc các cuộc tấn công tiếp theo. Với khả năng RAT, kẻ tấn công có thể giám sát thời gian thực, làm gián đoạn hệ thống, hoặc triển khai thêm mã độc.

Theo The Hacker News, tính mới mẻ của SEA giúp malware tránh các công cụ bảo mật, tận dụng yếu tố bất ngờ. Chiến dịch này nhắm đến Windows và Android, mở rộng phạm vi ảnh hưởng.

Khuyến nghị

Phía FPT Threat Intelligent khuyến nghị một số biện pháp để tránh StealIt và các mối đe dọa tương tự:

Cẩn trọng với tải xuống: Chỉ tải phần mềm từ nguồn chính thức. Tránh file từ MediaFire, Discord trừ khi xác minh.
Sử dụng phần mềm bảo mật: Cập nhật antivirus, phát hiện StealIt dưới tên W64/Litseat!tr. Bật firewall và scan định kỳ.
Xác thực hai lớp (2FA): Bảo vệ tài khoản, đặc biệt ví tiền điện tử.
Cập nhật hệ thống: Đảm bảo Windows và ứng dụng được vá lỗi.
Giám sát hoạt động: Theo dõi quy trình lạ, file trong %Temp% hoặc %AppData%.