Mã độc đánh cắp thông tin ACR Stealer ẩn trong các phần mềm crack
Các nhà nghiên cứu thuộc ASEC - AhnLab SEcurity intelligence Center, vừa qua đã cảnh báo về sự gia tăng đáng kể các máy tính bị lây nhiễm mã độc đánh cắp thông tin như LummaC2 hay ACR Stealer. Theo các nhà nghiên cứu, nguyên nhân khiến những máy tính này bị nhiễm mã độc đến từ những phần mềm đã bẻ khoá (crack) và các keygen chứa nội dung độc hại trôi nổi trên không gian mạng. Việc người dùng phổ thông sử dụng những phần mềm và keygen bất hợp pháp này đã góp phần làm gia tăng thông số trên.
Hình 1: Website phát tán phần mềm crack chứa mã độc ẩn
ACR Stealer là mã độc đánh cắp thông tin (Stealer Malware) được viết bằng ngôn ngữ lập trình C++. Xuất hiện trong khoảng đầu năm 2024, mã độc này nhắm tới người dùng phổ thông với máy tính chạy hệ điều hành Windows. Được quảng bá và phát triển dưới mô hình Dịch vụ Mã độc MaaS (Malware-as-a-Service), mã độc này có khả năng đánh cắp các thông tin nhạy cảm trên hệ thống như cookie trình duyệt, thông tin đăng nhập lưu trữ trong trình duyệt web, ví điện tử, tệp cấu hình của các chương trình trên hệ thống, thông tin về hệ thống bị lây nhiễm,...
Ngoài ra, mức nguy hiểm của ACR Stealer được đánh giá cao do khả năng che giấu trước sự truy quét của các giải pháp bảo mật. Cụ thể, mã độc này sử dụng kỹ thuật "dead drop resolver" (DDR), một kỹ thuật mà mã độc lợi dụng các máy chủ dịch vụ hợp pháp như Steam, Telegram's Telegraph, Google Forms, Google Slides,... làm điểm trung gian để truy cập tới địa chỉ C2 thực tế, đồng thời sử dụng mã hoá Base64 để truyền dữ liệu trên kênh liên lạc.
Hình 2: Google Docs (Forms) bị lợi dụng làm trung gian kết nối tới C2
Tên miền C2 thực tế thu được từ những máy chủ bị lợi dụng kết hợp với mã định danh ở dạng UUID đã mã hoá cứng (hardcoded) được dùng để tải xuống các URL chứa thông tin cấu hình. Phân tích hành vi mạng (Network Behavior) đối với dữ liệu này thu được lượng thông tin mà mã độc đã thu thập trên máy của nạn nhân như hình sau:
Hình 3: Phân tích hành vi mạng của mã độc
Các nhà nghiên cứu của ASEC cũng cung cấp thêm danh sách các chương trình bị mã độc này đánh cắp thông tin, cụ thể:
| Trình duyệt web | Cốc Cốc, Chrome, Microsoft Edge, Mozilla Firefox, Chrome SxS, Chrome Beta, Chrome Dev, Chrome Unstable, Chrome Canary, Epic Privacy Browser, Vivaldi, 360Browser Browser, K-Melon, Orbitum, Torch, CentBrowser, Chromium, Chedot, Kometa, Uran, liebao, QIP Surf, Nichrome, Chromodo, Coowon, CatalinaGroup Citrio, uCozMedia Uran, Elements Browser, MapleStudio ChromePlus, Maxthon3, Amigo, BraveSoftware Brave-Browser, Opera Software Opera Stable, Opera Software Opera GX Stable, Opera Software Opera Neon, NETGATE Technologies BlackHawk, TorBro, Thunderbird |
| Tệp tin | .txt |
| Các chương trình khác | MySQL, Telegram Desktop, WhatsApp, Bitwarden, 1Password, Binance, Electrum, Electrum-LTC, Ethereum, Exodus, Anoncoin, BBQCoin, devcoin, digitalcoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), GInfinitecoin, IOCoin, Ixcoin, Litecoin, Megacoin, Mincoin, Namecoin, Primecoin, Terracoin, YACoin, Dogecoin, ElectronCash, MultiDoge, jaxx, atomic, Daedalus Mainnet, Coinomi, Ledger Live, Authy Desktop, Armory, DashCore, AnyDesk, FileZilla, Mailbird, eM Client, The Bat!, PMAIL, snowflake-ssh, NordVPN, AzireVPN, purple, Signal, Zcash, Guarda, WalletWasabi, NordPass,RoboForm, Total Commander, Tox, Psi, Psi+, GoFTP, yMail2, FTPInfo, UltraFXP, NetDrive, FTP Now, DeluxeFTP, Opera Mail, FTPGetter, Steed, Sticky Notes, Notezilla, To-Do DeskList, ALFTP, BitKinex, TrulyMail, Pocomail, NppFTP, FTPBox, NovaFTP, GmailNotifierPro, BlazeFtp, Monero |
| Plugin trên trình duyệt | Theo dõi báo cáo của ASEC |
Khuyến nghị
Cùng với sự phát triển mạnh mẽ của công nghệ thông tin, những mã độc nguy hiểm như mã độc tống tiền (Ransomware) hay mã độc đánh cắp thông tin người dùng (Infostealer) cũng trở lên khó lường hơn từng ngày. Để giảm thiểu khả năng đối diện với những rủi ro gây mất an toàn thông tin này, đội ngũ FPT Threat Intelligence khuyến nghị:
Nâng cao kiến thức: Người dùng nên tự trang bị cho bản thân những kiến thức thiết yếu về bảo mật trên không gian mạng.
Sử dụng phần mềm hợp lệ: Người dùng không nên sử dụng phần mềm crack hay các keygen bất hợp pháp, không rõ nguồn gốc.
Duyệt web an toàn: Người dùng không nên truy cập đến các đường dẫn không rõ nguồn gốc được quảng bá trên các nền tảng mạng xã hội hoặc được gắn trong các email lạ.
Sử dụng dịch vụ bảo mật: Người dùng nên cài đặt các phần mềm diệt virus hoặc sử dụng dịch vụ giám sát 24/7 để gia tăng tính bảo mật.
IOCs
| SHA-256 |
| 0966facf8c0f32eeaa303dab4b6ed59071a0038bd3f3f7c109ab58c7a02d67e3 |
| 09c823235ca17428d294825f8c5c005df6e333e69e7c3c41f9e9e03e96a25646 |
| 0d0ddb0fa6b48252bf7b42741ffce72548515182e5746830ba7412842a9c4b46 |
| 0d51d748c3d5130d86183ea04cfebf157d2547ad453b1d013240f2b088ef8eb6 |
| 0e4fc0dc26227b24849e2b4f7f1ebb1c65e1f012d75f1e952ff13ae4d6b33ad4 |
URLs
| https[:]//2429568886dbdaba3fa935d7ae112525[.]stunnedfragiledioxide[.]shop/Up |
| https[:]//2429568886dbdaba3fa935d7ae112525[.]stunnedfragiledioxide[.]shop/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371 |
| https[:]//2429568886dbdaba3fa935d7ae1125a1[.]stunnedfragiledioxide[.]shop/Up |
| https[:]//2429568886dbdaba3fa935d7ae1125a1[.]stunnedfragiledioxide[.]shop/ujs/f1575b64-8492-4e8b-b102-4d26e8c70371 |
| https[:]//2429568886dbdaba3fa935d7ae1125aa[.]stunnedfragiledioxide[.]shop/Up |
FQDN
| 2429568886dbdaba3fa935d7ae112525[.]stunnedfragiledioxide[.]shop |
| 2429568886dbdaba3fa935d7ae1125a1[.]stunnedfragiledioxide[.]shop |
| 2429568886dbdaba3fa935d7ae1125aa[.]stunnedfragiledioxide[.]shop |
| a-bc[.]xyz |
| bolstermonoxideseventeen[.]shop |
Tham khảo
- ASEC report: https://asec.ahnlab.com/en/86390/
