Một loại malware đánh cắp thông tin đăng nhập mới, có tên “123 | Stealer”, đã xuất hiện trên các diễn đàn tội phạm mạng ngầm. Tác nhân đe dọa được biết đến với biệt danh #koneko đang rao bán công cụ này dưới dạng dịch vụ cho thuê với mức giá 120 USD mỗi tháng. Mặc dù được tiếp thị là một công cụ đánh cắp thông tin mạnh mẽ và linh hoạt, hiệu quả thực tế của “123 | Stealer” vẫn chưa được cộng đồng tội phạm mạng kiểm chứng rộng rãi.
Các Khả Năng Kỹ Thuật của “123 | Stealer”
Theo các quảng cáo được đăng tải bởi #koneko, “123 | Stealer” được quảng bá với một loạt các tính năng tiên tiến, tập trung vào việc trích xuất thông tin nhạy cảm từ các hệ thống mục tiêu.
Đánh Cắp Dữ Liệu Trình Duyệt
Một trong những khả năng chính của “123 | Stealer” là trích xuất dữ liệu toàn diện từ các trình duyệt web. Điều này bao gồm:
- Cookie: Các tệp nhỏ lưu trữ thông tin phiên người dùng, có thể bị lợi dụng để chiếm đoạt phiên (session hijacking).
- Dữ liệu tự động điền (autofill): Thông tin được lưu trữ để tự động điền vào các biểu mẫu trực tuyến, bao gồm địa chỉ, số điện thoại, và các dữ liệu cá nhân khác.
- Thẻ tín dụng: Thông tin chi tiết của thẻ thanh toán được lưu trong trình duyệt.
- Mật khẩu: Các thông tin đăng nhập được lưu trữ bởi trình duyệt, thường là một mục tiêu chính của các malware stealer.
Đánh Cắp Dữ Liệu Ứng Dụng Nhắn Tin và Email
Malware này cũng nhắm mục tiêu vào các ứng dụng giao tiếp phổ biến, cho phép đánh cắp thông tin nhạy cảm từ các nền tảng này:
- Tài khoản Telegram và Discord: Dữ liệu liên quan đến các tài khoản này có thể bị đánh cắp, mở ra cánh cửa cho việc truy cập trái phép vào các cuộc trò chuyện và cộng đồng.
- Dữ liệu ứng dụng email: Bao gồm thông tin từ các ứng dụng email như Microsoft Outlook và Mozilla Thunderbird, cho phép kẻ tấn công truy cập vào email, danh bạ và các dữ liệu liên lạc khác.
Đánh Cắp Thông Tin Đăng Nhập Tài Chính và Truy Cập Từ Xa
“123 | Stealer” có khả năng thu thập các thông tin đăng nhập có giá trị cao, thường được sử dụng cho mục đích tài chính hoặc truy cập hệ thống:
- Dữ liệu ví tiền điện tử: Thông tin truy cập ví tiền điện tử có thể bị đánh cắp, dẫn đến thiệt hại tài chính nghiêm trọng.
- Thông tin đăng nhập Remote Desktop Protocol (RDP): Đánh cắp các thông tin này cho phép kẻ tấn công truy cập từ xa vào hệ thống, thường là một bước quan trọng trong các cuộc tấn công nâng cao.
- Dữ liệu ứng dụng FTP: Thông tin đăng nhập từ các ứng dụng FTP (File Transfer Protocol) có thể bị đánh cắp, cho phép kẻ tấn công truy cập và thao túng các máy chủ web hoặc tệp.
Các Tính Năng Khác và Khả Năng Né Tránh
Ngoài các khả năng đánh cắp dữ liệu cụ thể, “123 | Stealer” còn được quảng bá với các tính năng hỗ trợ hoạt động của nó:
- Chụp ảnh màn hình: Khả năng chụp lại hình ảnh màn hình của nạn nhân, cung cấp thêm thông tin về hoạt động và dữ liệu hiển thị.
- Khả năng né tránh phần mềm diệt virus: Một tính năng quan trọng giúp malware duy trì sự hiện diện trên hệ thống mà không bị phát hiện.
- Hỗ trợ đa dạng phiên bản Windows: Malware được thiết kế để hoạt động trên nhiều hệ điều hành Windows khác nhau, bao gồm Windows 7, 8, 10, 11, và các phiên bản Windows Server.
- Được mô tả là nhẹ, cấu hình linh hoạt, hoạt động tàng hình (stealthy), cập nhật tự động, và có giao diện thân thiện với người dùng.
“123 | Stealer” Trong Bối Cảnh Xu Hướng Malware-as-a-Service (MaaS)
Sự xuất hiện của “123 | Stealer” phản ánh một xu hướng rộng lớn hơn trong hệ sinh thái tội phạm mạng, nơi các dịch vụ malware-as-a-service (MaaS) ngày càng trở nên dễ tiếp cận và có giá thành phải chăng. Mô hình MaaS cho phép ngay cả những cá nhân có kỹ năng kỹ thuật hạn chế cũng có thể thuê và triển khai các công cụ tấn công phức tạp.
So Sánh Với Các Công Cụ Tương Tự
Các công cụ đánh cắp thông tin tương tự như RedLine và LummaC2 đã được quan sát thấy trên các thị trường dark web. Những công cụ này thường cung cấp một loạt các tính năng đánh cắp thông tin đăng nhập và đánh cắp dữ liệu (data exfiltration) với mức phí hàng tháng. Các loại malware này được thiết kế để tự động hóa quy trình thu thập thông tin nhạy cảm.
Tác Động của MaaS
Những công cụ MaaS thường được sử dụng để thu thập thông tin cá nhân, thông tin đăng nhập, dữ liệu tài chính, và các loại dữ liệu nhạy cảm khác. Sau khi được thu thập, những thông tin này thường được rao bán trên các thị trường ngầm hoặc được sử dụng để thực hiện các cuộc tấn công tiếp theo, bao gồm chiếm đoạt tài khoản (account takeovers), gian lận tài chính, và các hoạt động gây hại khác.
Tình Trạng Kiểm Chứng và Hậu Quả Tiềm Ẩn
Mặc dù được quảng bá rầm rộ, “123 | Stealer” chưa nhận được các đánh giá công khai hoặc xác nhận từ các tội phạm mạng khác. Điều này đồng nghĩa với việc các khả năng thực sự của nó vẫn chưa được cộng đồng chứng minh. Trong nền kinh tế ngầm, danh tiếng và hiệu quả đã được chứng minh là rất quan trọng để một công cụ được chấp nhận rộng rãi. Do đó, vẫn còn phải xem liệu stealer mới này có đạt được sức hút hay không.
Các nhà nghiên cứu bảo mật cảnh báo rằng sự phổ biến của các công cụ như vậy làm giảm đáng kể rào cản gia nhập đối với tội phạm mạng. Điều này cho phép ngay cả những tác nhân ít kỹ năng kỹ thuật hơn cũng có thể thực hiện các cuộc tấn công tinh vi, làm tăng số lượng các mối đe dọa tiềm tàng. Thiết kế mô-đun và khả năng hỗ trợ nhiều tiện ích mở rộng trình duyệt và nền tảng khác nhau khiến “123 | Stealer” trở thành mối đe dọa tiềm tàng đối với cả cá nhân và tổ chức, nếu những tuyên bố về nó được chứng minh là chính xác.
Mặc dù “123 | Stealer” là một trong những cái tên mới nhất trong lĩnh vực phần mềm đánh cắp thông tin, tác động thực tế của nó sẽ phụ thuộc vào hiệu quả hoạt động và mức độ tin cậy mà nó giành được trong giới tội phạm mạng.
Biện Pháp Giảm Thiểu và Phòng Ngừa
Trước sự phát triển không ngừng của các công cụ đánh cắp thông tin, các tổ chức và cá nhân cần duy trì cảnh giác cao độ. Các biện pháp phòng ngừa cần được thực hiện bao gồm:
- Cập nhật các giao thức bảo mật: Đảm bảo tất cả hệ thống và ứng dụng được vá lỗi và cập nhật thường xuyên để chống lại các lỗ hổng đã biết.
- Sử dụng xác thực đa yếu tố (MFA): Triển khai MFA cho tất cả các tài khoản quan trọng để thêm một lớp bảo mật chống lại việc đánh cắp thông tin đăng nhập.
- Giáo dục người dùng: Nâng cao nhận thức về các kỹ thuật lừa đảo (phishing) và kỹ thuật xã hội (social engineering) mà kẻ tấn công thường sử dụng để lây nhiễm malware.
- Theo dõi các dấu hiệu đánh cắp thông tin đăng nhập: Triển khai các giải pháp giám sát an ninh để phát hiện các hoạt động bất thường hoặc dấu hiệu của việc thông tin đăng nhập đã bị đánh cắp.
Bối cảnh mối đe dọa mạng tiếp tục phát triển, và sự xuất hiện của các công cụ như “123 | Stealer” nhấn mạnh tầm quan trọng của việc chủ động trong phòng thủ mạng.
