OnyxC2 Stealer – Mối đe dọa mới biến trình duyệt thành kho dữ liệu cho tội phạm mạng
Tóm tắt chiến dịch
Sự xuất hiện của OnyxC2 đánh dấu một bước tiến đáng chú ý trong thị trường Malware-as-a-Service (MaaS). Không chỉ đơn thuần là một infostealer truyền thống, OnyxC2 được xây dựng như một nền tảng hoàn chỉnh dành cho tội phạm mạng với khả năng đánh cắp dữ liệu từ hơn 210 ứng dụng, bao gồm trình duyệt, ví tiền điện tử, trình quản lý mật khẩu và các tiện ích xác thực đa yếu tố (MFA). Đáng chú ý, dịch vụ này được chào bán với giá chỉ khoảng 250 USD/tháng, khiến năng lực tấn công vốn trước đây chỉ dành cho các nhóm APT hoặc ransomware chuyên nghiệp trở nên dễ tiếp cận hơn với các đối tượng có trình độ kỹ thuật thấp.
Bối cảnh: Sự bùng nổ của Malware-as-a-Service
Trong vài năm gần đây, mô hình MaaS đã thay đổi hoàn toàn hệ sinh thái tội phạm mạng. Thay vì tự phát triển mã độc, các đối tượng tấn công giờ đây có thể thuê hoặc mua các công cụ hoàn chỉnh với giao diện quản trị, hỗ trợ kỹ thuật và cập nhật định kỳ.
OnyxC2 là ví dụ điển hình cho xu hướng này. Theo các nhà nghiên cứu, nền tảng cung cấp:
Bảng điều khiển quản lý (Control Panel)
Builder tạo payload tùy chỉnh
Chức năng truy cập từ xa (Remote Access)
Hệ thống quản lý chiến dịch
Cơ chế cập nhật và hỗ trợ khách hàng
Mô hình kinh doanh này khiến rào cản gia nhập đối với tội phạm mạng giảm đáng kể, tương tự cách Ransomware-as-a-Service đã thúc đẩy sự bùng nổ của các nhóm ransomware trong những năm gần đây.
Khả năng đánh cắp dữ liệu quy mô lớn
Điểm đáng lo ngại nhất của OnyxC2 là phạm vi thu thập dữ liệu cực kỳ rộng. Các nghiên cứu cho thấy malware này có khả năng nhắm mục tiêu hơn 210 ứng dụng và extension khác nhau, bao gồm:
Google Chrome
Microsoft Edge
Mozilla Firefox
Brave Browser
Opera
Các trình quản lý mật khẩu
Ví tiền điện tử
Tiện ích MFA
Cookie trình duyệt
Session token
Thông tin đăng nhập đã lưu
Khả năng đánh cắp session token đặc biệt nguy hiểm vì cho phép kẻ tấn công chiếm quyền truy cập tài khoản ngay cả khi nạn nhân đã kích hoạt MFA. Trong nhiều trường hợp, việc thay đổi mật khẩu sau khi bị xâm nhập vẫn không đủ để vô hiệu hóa các phiên đăng nhập đang hoạt động đã bị đánh cắp.
Kỹ thuật né tránh phát hiện
Một trong những yếu tố khiến OnyxC2 nổi bật so với nhiều stealer khác là mức độ đầu tư vào các kỹ thuật evasion.
DLL Sideloading
BlackFog phát hiện OnyxC2 sử dụng kỹ thuật DLL sideloading bằng cách:
Sử dụng executable hợp pháp đã được ký số.
Tải DLL độc hại ngụy trang thành thư viện NVIDIA.
Thực thi mã độc thông qua quá trình tải DLL của ứng dụng hợp pháp.
Điều này giúp malware tránh được nhiều cơ chế kiểm soát ứng dụng truyền thống.
Payload mã hóa
Toàn bộ payload được mã hóa nhằm:
Tránh bị phát hiện bởi AV/EDR.
Giảm khả năng phân tích tĩnh.
Gây khó khăn cho việc tạo chữ ký nhận diện.
In-Memory Execution
Một phần mã độc được thực thi trực tiếp trong bộ nhớ thay vì ghi xuống đĩa, làm giảm khả năng bị phát hiện bởi các giải pháp bảo mật dựa trên file scanning.
Kích thước DLL bất thường
Các nhà nghiên cứu ghi nhận mẫu DLL độc hại có kích thước trên 120 MB, một chiến thuật được sử dụng nhằm gây khó khăn cho quá trình sandboxing và phân tích tự động.
Cơ chế Command & Control (C2) của OnyxC2
Vai trò của C2 trong chuỗi tấn công
Đối với các dòng infostealer hiện đại, máy chủ Command & Control (C2) không chỉ đóng vai trò nhận dữ liệu đánh cắp mà còn là trung tâm điều phối toàn bộ chiến dịch tấn công.
Với OnyxC2, hạ tầng C2 được thiết kế theo mô hình MaaS (Malware-as-a-Service), cho phép nhiều "khách hàng" sử dụng chung nền tảng quản trị nhưng vẫn tách biệt dữ liệu nạn nhân.
Sau khi payload được thực thi thành công trên thiết bị nạn nhân, malware sẽ:
Thu thập thông tin nhận dạng hệ thống.
Tạo định danh (Bot ID) cho thiết bị.
Thiết lập kết nối đến máy chủ C2.
Nhận cấu hình tác vụ.
Truyền dữ liệu đánh cắp về hệ thống quản lý.
Chuỗi giao tiếp C2 điển hình
Khác với nhiều stealer đời cũ chỉ gửi file ZIP chứa dữ liệu đánh cắp, OnyxC2 vận hành gần giống một nền tảng RAT, cho phép quản trị viên theo dõi trạng thái thiết bị theo thời gian thực.
Kỹ thuật giao tiếp qua HTTPS
OnyxC2 sử dụng giao thức HTTPS để:
Ngụy trang lưu lượng độc hại thành lưu lượng web thông thường.
Vượt qua các cơ chế kiểm soát firewall.
Tránh bị phát hiện bởi các giải pháp IDS/IPS chỉ kiểm tra lưu lượng không mã hóa.
Các dữ liệu thường được gửi bao gồm:
Browser credentials
Session cookies
MFA artifacts
Crypto wallet information
System inventory
Do sử dụng TLS nên các thiết bị mạng truyền thống khó có thể kiểm tra nội dung gói tin.
Vì sao OnyxC2 nguy hiểm hơn các stealer truyền thống?
Các dòng stealer trước đây như Lumma, RedLine hay Raccoon chủ yếu tập trung vào: Credential harvesting, Cookie theft, Crypto wallet theft.
Trong khi đó, OnyxC2 đang tiến gần đến ranh giới giữa stealer và RAT (Remote Access Trojan). Ngoài đánh cắp dữ liệu, nền tảng này còn cung cấp:
Remote desktop functionality
File management
Khả năng tải thêm payload
Điều khiển thiết bị từ xa
Điều này biến một chiến dịch đánh cắp thông tin đơn giản thành bước đệm cho:
Ransomware deployment
Business Email Compromise (BEC)
Cloud account takeover
Lateral movement trong môi trường doanh nghiệp
Góc nhìn chiến lược: Vấn đề không còn là mật khẩu
CybelAngel chỉ ra một thực tế đáng chú ý: thành công của OnyxC2 không đến từ việc khai thác lỗ hổng zero-day mà từ việc tận dụng các "mặc định" tồn tại lâu năm trong hệ sinh thái số.
Các trình duyệt hiện đại mặc định lưu:
Mật khẩu
Cookie
Session token
Dữ liệu autofill
Một số thông tin MFA
Ngay cả khi tổ chức triển khai MFA, việc lưu trữ token phiên trên máy người dùng vẫn tạo ra cơ hội cho các infostealer như OnyxC2.
Điều này phản ánh xu hướng chung của ngành tấn công mạng hiện nay: thay vì tìm cách phá vỡ cơ chế xác thực, kẻ tấn công tập trung đánh cắp phiên đăng nhập đã được xác thực sẵn.
Tác động đối với doanh nghiệp
Nếu một thiết bị đầu cuối bị nhiễm OnyxC2, hậu quả có thể bao gồm:
Giai đoạn 1: Credential Theft
Tài khoản email
VPN
SaaS
Cloud platform
Giai đoạn 2: Session Hijacking
Bỏ qua MFA
Truy cập hệ thống nội bộ
Giai đoạn 3: Post-Compromise Activities
Triển khai ransomware
Đánh cắp dữ liệu
Tống tiền
Di chuyển ngang trong mạng
Đây là mô hình tấn công đã được quan sát ở nhiều chiến dịch lớn liên quan đến các infostealer khác như Lumma trong giai đoạn 2024–2025.
Khuyến nghị
Không lưu mật khẩu trên trình duyệt
OnyxC2 được thiết kế để thu thập dữ liệu từ các trình duyệt phổ biến như Chrome, Edge, Firefox và Brave.
Khuyến nghị:
Hạn chế sử dụng tính năng "Save Password" của trình duyệt.
Sử dụng trình quản lý mật khẩu chuyên dụng như Bitwarden, 1Password hoặc KeePass.
Xóa các mật khẩu đã lưu không còn sử dụng.
Kích hoạt MFA nhưng không phụ thuộc hoàn toàn vào MFA
OnyxC2 có khả năng đánh cắp cookie và session token đã được xác thực.
Điều này đồng nghĩa với việc:
Kẻ tấn công có thể chiếm quyền phiên đăng nhập mà không cần biết mật khẩu hoặc mã OTP.
Khuyến nghị:
Ưu tiên sử dụng Passkey khi dịch vụ hỗ trợ.
Thường xuyên đăng xuất khỏi các tài khoản quan trọng.
Kiểm tra các phiên đăng nhập đang hoạt động trên Google, Microsoft, Facebook và các dịch vụ khác.
Cẩn trọng với tệp đính kèm và phần mềm không rõ nguồn gốc
Nhiều chiến dịch phát tán stealer hiện nay lợi dụng:
Phần mềm crack
Công cụ hack game
Trình kích hoạt bản quyền (Activator)
Tài liệu đính kèm trong email lừa đảo
Nguyên tắc đơn giản:
Nếu một phần mềm miễn phí hứa hẹn mở khóa tính năng trả phí, rất có thể bạn đang trả bằng dữ liệu của chính mình.
Cập nhật hệ điều hành và phần mềm thường xuyên
Các bản vá bảo mật giúp giảm nguy cơ malware khai thác các lỗ hổng đã biết.
Cần đảm bảo:
Windows Update luôn được bật.
Trình duyệt được cập nhật phiên bản mới nhất.
Phần mềm bảo mật hoạt động bình thường.
Theo dõi các dấu hiệu bất thường của tài khoản
Một số dấu hiệu cho thấy tài khoản có thể đã bị đánh cắp session:
Đăng nhập từ vị trí lạ.
Nhận cảnh báo bảo mật từ Google hoặc Microsoft.
Xuất hiện các phiên đăng nhập không nhận diện được.
Email hoặc tin nhắn được gửi mà không phải do bạn thực hiện.
Khi phát hiện dấu hiệu bất thường:
Đổi mật khẩu ngay lập tức.
Đăng xuất khỏi tất cả thiết bị.
Thu hồi các phiên đăng nhập đang hoạt động.
Kích hoạt lại MFA nếu cần.
Đối với người dùng doanh nghiệp
Nhân viên cần:
Không sử dụng tài khoản công việc trên thiết bị cá nhân không được quản lý.
Không cài đặt phần mềm không được bộ phận CNTT phê duyệt.
Báo cáo ngay khi phát hiện email đáng ngờ hoặc thiết bị có dấu hiệu nhiễm mã độc.
Kết luận
OnyxC2 cho thấy thị trường tội phạm mạng đang chuyển dịch từ các công cụ đơn lẻ sang các nền tảng MaaS hoàn chỉnh với chi phí thấp nhưng khả năng tấn công ngày càng tinh vi. Việc nhắm mục tiêu hơn 210 ứng dụng, kết hợp cùng các kỹ thuật né tránh tiên tiến như DLL sideloading, payload mã hóa và thực thi trong bộ nhớ, biến OnyxC2 trở thành một trong những infostealer đáng chú ý nhất xuất hiện trong năm 2026. Quan trọng hơn, mối đe dọa này phản ánh một xu hướng lớn hơn: kẻ tấn công không còn tập trung vào việc phá vỡ cơ chế xác thực mà đang chuyển sang đánh cắp các phiên đăng nhập và dữ liệu đã được xác thực sẵn, khiến các biện pháp bảo vệ truyền thống dựa trên mật khẩu và MFA đơn thuần ngày càng trở nên kém hiệu quả.
MITRE ATT&CK Mapping: OnyxC2 Stealer
| Tactic | Technique | ID | Mô tả |
|---|---|---|---|
| Initial Access | Phishing | T1566 | Có khả năng được phân phối qua email lừa đảo hoặc chiến dịch malware distribution |
| Execution | User Execution | T1204 | Yêu cầu nạn nhân thực thi file độc hại |
| Execution | Command and Scripting Interpreter | T1059 | Thực thi các lệnh và script hỗ trợ hoạt động malware |
| Defense Evasion | Obfuscated/Encrypted File | T1027 | Payload được mã hóa để tránh AV/EDR |
| Defense Evasion | DLL Side-Loading | T1574.002 | Lợi dụng executable hợp pháp để tải DLL độc hại |
| Defense Evasion | Masquerading | T1036 | Ngụy trang DLL thành thành phần NVIDIA hoặc ứng dụng hợp pháp |
| Defense Evasion | Reflective Code Loading | T1620 | Thực thi mã trực tiếp trong bộ nhớ |
| Credential Access | Credentials from Password Stores | T1555 | Đánh cắp thông tin xác thực từ trình duyệt và password manager |
| Credential Access | Credentials from Web Browsers | T1555.003 | Trích xuất mật khẩu lưu trong Chrome, Edge, Firefox, Brave |
| Credential Access | Multi-Factor Authentication Interception | T1111 | Thu thập dữ liệu liên quan tới MFA và authentication token |
| Credential Access | Steal Web Session Cookie | T1539 | Đánh cắp cookie và session đã xác thực |
| Collection | Data from Local System | T1005 | Thu thập dữ liệu từ thiết bị nạn nhân |
| Collection | Archive Collected Data | T1560 | Gom dữ liệu trước khi gửi về C2 |
| Discovery | System Information Discovery | T1082 | Thu thập thông tin hệ thống |
| Discovery | Process Discovery | T1057 | Liệt kê tiến trình đang chạy |
| Discovery | Software Discovery | T1518 | Xác định phần mềm và ứng dụng mục tiêu |
| Command & Control | Application Layer Protocol | T1071 | Giao tiếp với C2 thông qua HTTP/HTTPS |
| Command & Control | Encrypted Channel | T1573 | Mã hóa lưu lượng C2 |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Truyền dữ liệu đánh cắp về máy chủ điều khiển |
IOC
IP C2
104.18.20.213
104.21.46.39
172.67.223.39
SHA-256
41999a3d0da035ff8068905c90235ea50121329cb0661e38d745974ebf5e3ae2
78945c844fc23dd3446cf17987edeeb6cc21986820c92df82a126af24a5a38d1
d89bb4b23a67814ef511e4e9dda7ad36fa519a322fa7c25ea451c7dd7ef61e54
f6e4b09ef788adef3f65fd2b99da8f5be5391be29471676dc07040a56c8fdfab
Tham khảo
OnyxC2 stealer sold as a service targets over 210 applications | brief | SC Media
Inside OnyxC2: The New Stealer Targeting 210 Apps | BlackFog
OnyxC2 Stealer Offers Cybercriminals Enterprise-Grade Theft for $250 a Month - SecurityWeek
