# Mã độc đánh cắp mật khẩu ẩn giấu trong tệp JPG

Một chiến dịch phần mềm độc hại sử dụng kỹ thuật **steganography** mới đã xuất hiện, lợi dụng các tệp hình ảnh **JPEG** như một cơ chế phân phối ngầm để phát tán nhiều loại phần mềm đánh cắp mật khẩu.

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng cuộc tấn công tinh vi này sử dụng phương pháp **che giấu mã độc bên trong các tệp hình ảnh trông có vẻ vô hại**. Điều này khai thác kỹ thuật **steganography** – một phương pháp đã có từ lâu, thường được dùng để giấu thông điệp hoặc nội dung bí mật bên trong các tệp kỹ thuật số.

Bằng cách này, kẻ tấn công có thể **né tránh các hệ thống phát hiện truyền thống** và phát tán phần mềm độc hại một cách hiệu quả trên các hệ thống mục tiêu.

### **Cách thức tấn công**

![](https://www.seqrite.com/blog/wp-content/uploads/2025/03/1.png align="left")

Cuộc tấn công bắt đầu khi nạn nhân vô tình tải xuống hoặc mở một tệp **JPEG đã bị nhiễm mã độc** trên thiết bị của họ.

* Tệp ảnh này thường được **ngụy trang** thành nội dung hợp lệ.
    
* Bên trong hình ảnh chứa **các tập lệnh độc hại và tệp thực thi** được nhúng sẵn.
    
* Khi hình ảnh được xử lý trên thiết bị nạn nhân, các **mã độc sẽ tự động được trích xuất và thực thi**.
    

**Mục tiêu chính** của mã độc được nhúng trong tệp JPEG là **thu thập thông tin đăng nhập**, nhắm đến:

* **Trình duyệt web**
    
* **Ứng dụng email**
    
* **Phần mềm FTP**
    

### **Điểm khác biệt của cuộc tấn công này**

Điểm đặc biệt của phương thức tấn công này là **cơ chế phân phối mã độc rất tinh vi**:

* Các **tập lệnh độc hại không hiển thị trực tiếp trong phần tiêu đề (header) hoặc siêu dữ liệu (metadata) của tệp hình ảnh**.
    
* Thay vào đó, mã độc được **giấu bên trong các trường dữ liệu pixel**, khiến các thư viện xử lý ảnh thông thường không phát hiện ra điều bất thường.
    

Khi được kích hoạt, các tập lệnh độc hại sẽ **khởi chạy chuỗi tấn công**, bao gồm:

* Tải xuống các **mã độc bổ sung**, chẳng hạn như **Vidar, Raccoon và Redline**.
    
* Những công cụ này chuyên thu thập **thông tin đăng nhập** từ cơ sở dữ liệu ứng dụng, khai thác lỗ hổng bảo mật và gửi dữ liệu bị đánh cắp về **máy chủ điều khiển (C2 Server)** của kẻ tấn công.
    

---

## **Chi tiết kỹ thuật: Giải mã mã độc trong tệp JPEG**

Về mặt kỹ thuật, **steganography** cho phép **thay đổi giá trị pixel** trong hình ảnh **JPEG** để mã hóa dữ liệu độc hại.

* Việc **trích xuất** dữ liệu này được thực hiện thông qua các **trình giải mã (decoder)** được nhúng trong tập lệnh tải mã độc (loader script).
    
* **Ví dụ:** Kẻ tấn công sử dụng **các tệp thực thi Python và C++** để đọc một cụm pixel cụ thể và tái tạo tập lệnh thực thi từ luồng byte đã mã hóa.
    

Dưới đây là một đoạn mã Python mẫu dùng để **giải mã tải trọng độc hại** từ hình ảnh bị nhiễm:

```csharp
        pythonCopyEditfrom PIL import Image
        
        def extract_payload(image_file):
            img = Image.open(image_file)
            payload_data = []
            for pixel in img.getdata():
                if pixel[0] % 2 == 0:  # Logic mã hóa mẫu
                    payload_data.append(pixel[0])
            return bytearray(payload_data)
        
        image = "infected_image.jpg"
        payload = extract_payload(image)    
```

### **Quy trình mã hóa và giải mã trong JPEG**

* Trong cuộc tấn công này, kẻ tấn công thực hiện **mã hóa tải trọng độc hại vào một tệp JPEG**.
    
* Khi tệp này được mở, **các pixel có vẻ vô hại thực chất đã bị chỉnh sửa nhẹ** để chứa dữ liệu độc hại.
    
* **Trình tải mã độc sẽ đọc và giải mã dữ liệu từ hình ảnh**, sau đó thực thi tập lệnh độc hại trên thiết bị nạn nhân.
    

📌 **Kết luận:** Đây là một kỹ thuật **tấn công ẩn giấu rất tinh vi**, giúp kẻ tấn công vượt qua các cơ chế bảo mật truyền thống và phát tán mã độc đánh cắp mật khẩu một cách hiệu quả.

## **IOCs**

| **SHA256 Hash** |
| --- |
| 9d66405aebff0080cc5d28a1684d501fa7e183dc8b6340475fc06845509cb466 |
| 42813b301da721c34ca1aca29ce2e4c7d71ae580b519a3332a4ba71870b6a58e |
| f67c6341bfe37f5b05c00a0dda738f472fdabd6ea94ca8dc761f57f11ce12036 |
| aed291c023c3514fb97b4e08e291e03f52de91a2a8d311491b4ab8299db0aa0f |
| faed55ed0102b1b2e3d853e8633abecbb9cec6a5f41c630097d8eaeefafba060 |
| b8fc29c02005c84131f34de083c2e81cdf615ff405877f9e73400bf35513c053 |
| 2d4ab87f9ea104075d372f4c211b1fb89adec60208d370b8fb2d748e1a73186c |
| b2e8f720740bbd46f6ae3f450f265ace1044fe232141fbd84f269eafeb290812 |
| a582e7e5b3ac37895e7cf484aaa8ea477deb90d99b47b2d9bfc018c604573889 |
| **C2 Domain** |
| freebirdkissingonmylipswithnicefeelings\[.\]duckdns\[.\]org |
| *interestedthingsforkissinggirlwithloves\[.\]duckdns\[.\]org* |
| **C2 IP**: 148\[.\]113\[.\]214\[.\]176 |

## Tham khảo

[New Steganographic Campaign Distributing Multiple Malware](https://www.seqrite.com/blog/steganographic-campaign-distributing-malware/)

[New Steganographic Malware Hides in JPG Files to Deploy Multiple Password Stealers](https://gbhackers.com/new-steganographic-malware-hides-in-jpg-files/)
