tin bảo mật mới nhất ghi nhận một chiến dịch malware nhắm vào người dùng giao dịch tài chính bằng cách giả mạo nền tảng TradingView để phát tán công cụ đánh cắp dữ liệu. Tác nhân dựng website giả mạo với tên TradingClaw, quảng bá như một trợ lý giao dịch AI, nhưng thực tế là chuỗi tải xuống dẫn tới Needle Stealer.
Điểm đáng chú ý của chiến dịch này không nằm ở một lỗ hổng CVE cụ thể, mà ở cách kết hợp giả mạo thương hiệu, kỹ thuật né phát hiện và chuỗi lây nhiễm nhiều giai đoạn. Website giả tại tradingclaw[.]pro mô phỏng giao diện sản phẩm AI giao dịch, đồng thời không liên quan đến tên miền hợp lệ tradingclaw[.]chat.
Tác nhân lợi dụng sự tin cậy dành cho TradingView, cộng với nhu cầu tìm kiếm công cụ hỗ trợ giao dịch và các ứng dụng gắn nhãn AI. Người dùng sau khi tải và chạy tệp được phát tán sẽ vô tình cài đặt Needle Stealer, một malware được thiết kế để thu thập thông tin nhạy cảm từ máy bị nhiễm.
Cơ chế phát tán và chuỗi lây nhiễm
Chiến dịch bắt đầu khi nạn nhân truy cập website giả và được yêu cầu tải một file ZIP. Bên trong archive là các thành phần phục vụ kỹ thuật DLL hijacking, trong đó malware mạo danh một thư viện hợp lệ mà chương trình Windows tin cậy sẽ tự động nạp.
Khi chương trình hợp lệ chạy, nó nạp nhầm thư viện giả, từ đó thực thi mã độc mà người dùng không nhìn thấy dấu hiệu bất thường. Trong mẫu này, tiến trình Windows bị lạm dụng là RegAsm.exe, một thành phần .NET dùng để đăng ký assemblies.
Thư viện giai đoạn đầu tiếp tục tải một DLL giai đoạn hai, rồi dùng kỹ thuật process hollowing để chèn Needle Stealer trực tiếp vào tiến trình RegAsm.exe. Cách ẩn mình trong tiến trình hợp lệ làm giảm khả năng bị cảnh báo bởi các công cụ bảo mật.
Kỹ thuật né phát hiện trong chiến dịch bảo mật thông tin
Website giả của TradingClaw còn áp dụng cơ chế lọc truy cập để tránh bị phát hiện. Khi search engine hoặc security scanner truy cập, trang sẽ chuyển hướng sang website khác không độc hại.
Chỉ các lượt truy cập phù hợp với hồ sơ nạn nhân mục tiêu mới được hiển thị nội dung độc hại. Cách hoạt động này giúp chiến dịch kéo dài thời gian tồn tại và giảm khả năng bị công cụ tự động ghi nhận trong giai đoạn đầu.
Tham khảo thêm tài liệu phân tích kỹ thuật từ Malwarebytes Threat Intel.
Needle Stealer và ảnh hưởng đến hệ thống bị xâm nhập
Needle Stealer được viết bằng Golang và tổ chức theo kiến trúc module, cho phép bật hoặc tắt từng thành phần tùy mục tiêu tấn công. Điều này khiến mối đe dọa mạng khó theo dõi hơn vì tải trọng cuối cùng có thể thay đổi mà vẫn dùng chung bộ khởi chạy.
Module lõi của malware có thể chụp ảnh màn hình, đánh cắp dữ liệu trình duyệt, trích xuất thông tin từ các ứng dụng như Telegram và FTP client, đồng thời thu thập file văn bản và dữ liệu ví tiền mã hóa.
Malware cũng cài đặt tiện ích mở rộng trình duyệt độc hại để duy trì quyền kiểm soát sau khi lây nhiễm ban đầu. Tiện ích này kết nối tới máy chủ từ xa, theo dõi nạn nhân bằng một unique ID, chặn luồng truy cập web và có thể thay thế file tải xuống hợp lệ bằng file độc hại.
Khả năng đánh cắp tài sản số
Chiến dịch này đặc biệt nguy hiểm với người dùng giao dịch trực tuyến hoặc quản lý crypto holdings. Needle Stealer được thiết kế để lấy browser cookies, mật khẩu đã lưu, phiên đăng nhập và thông tin ví tiền mã hóa từ máy nhiễm.
Malware còn nhắm tới các ứng dụng ví như Ledger và Exodus, cũng như tiện ích trình duyệt như MetaMask và Coinbase. Một số nhánh còn cố gắng đánh cắp seed phrases, làm tăng nguy cơ rò rỉ dữ liệu và thất thoát tài sản.
IOC và dấu hiệu nhận diện
- Domain độc hại: tradingclaw[.]pro
- Domain hợp lệ bị mạo danh: tradingclaw[.]chat
- Tiến trình bị lạm dụng: RegAsm.exe
- Kỹ thuật thực thi: DLL hijacking
- Kỹ thuật tiêm tiến trình: process hollowing
- Payload cuối: Needle Stealer
Phân tích mối đe dọa mạng và chuỗi thực thi
Chiến dịch này cho thấy một mô hình modular điển hình: loader cũ được tái sử dụng, nhưng payload cuối được thay bằng Needle Stealer để mở rộng khả năng đánh cắp dữ liệu. Việc tái dùng khung lây nhiễm giúp chiến dịch dễ mở rộng hơn và làm phức tạp quá trình attribution.
Nhờ nấp sau tiến trình hợp lệ và sử dụng cơ chế lọc visitor, chiến dịch có thể tránh nhiều lớp IDS và công cụ giám sát hành vi thông thường. Với các hệ thống đã bị xâm nhập, rủi ro chính là mất quyền truy cập tài khoản, lộ cookie phiên làm việc và bị chiếm quyền điều khiển trình duyệt.
Khuyến nghị phòng vệ và cập nhật bản vá
Người dùng giao dịch trực tuyến không nên tải công cụ từ nguồn không chính thức, kể cả khi website trông hợp lệ. Cần xác minh phần mềm qua kênh nhà phát triển chính thức và giữ cho bộ endpoint security tools luôn được cập nhật.
Các đội vận hành nên theo dõi hành vi tải file ZIP bất thường, tiến trình RegAsm.exe khởi chạy không đúng ngữ cảnh, và các dấu hiệu browser extension mới xuất hiện ngoài kiểm soát. Đây là các điểm quan sát quan trọng trong phát hiện xâm nhập liên quan tới chiến dịch này.
Tra cứu thêm thông tin nền tảng về hành vi phát tán mã độc qua nguồn đáng tin cậy tại CISA.
Gợi ý kiểm tra nhanh trên hệ thống
tasklist /m | findstr /i "regasm"
powershell -Command "Get-ChildItem -Path $env:APPDATA,$env:LOCALAPPDATA -Recurse -ErrorAction SilentlyContinue | Where-Object {$_.Extension -in '.dll','.exe','.zip'}"
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
Mẫu quan sát cần ưu tiên trong điều tra
- Tệp ZIP được tải từ website giả mạo liên quan tới giao dịch tài chính.
- RegAsm.exe thực thi bất thường ngay sau khi người dùng mở file vừa tải.
- Dấu hiệu DLL hijacking hoặc thư viện giả mạo trong thư mục người dùng.
- Tiện ích trình duyệt lạ có quyền đọc/ghi nội dung trang và theo dõi phiên đăng nhập.
- Lưu lượng kết nối tới máy chủ điều khiển kèm định danh nạn nhân duy nhất.
