Gremlin stealer malware vừa xuất hiện với một biến thể mới được phân tích gần đây, trong đó C2 và đường dẫn data exfiltration được giấu trong các encrypted resource sections của chương trình biên dịch. Cách triển khai này làm giảm khả năng phát hiện của công cụ quét truyền thống và cho phép mã độc đánh cắp dữ liệu hoạt động âm thầm trên hệ thống bị nhiễm.
Gremlin stealer malware và cơ chế ẩn cấu hình C2
Biến thể mới không còn lưu URL C2 dưới dạng chuỗi đọc được trong mã. Thay vào đó, cấu hình lõi được chuyển vào .NET resource section và bị làm rối bằng XOR encoding. Khi phân tích tĩnh, khối tài nguyên này trông như một vùng dữ liệu vô nghĩa, khiến việc nhận diện bằng chữ ký trở nên khó khăn hơn.
Nghiên cứu được công bố bởi Unit 42 ghi nhận một biến thể mới đang đẩy dữ liệu bị đánh cắp lên máy chủ triển khai mới tại hxxp[:]194.87.92[.]109. Tại thời điểm phát hiện, hạ tầng này chưa bị nhiều công cụ trên VirusTotal gắn cờ độc hại.
Hành vi đánh cắp dữ liệu của Gremlin stealer malware
Gremlin stealer malware được phát tán như một công cụ đánh cắp thông tin đăng nhập, sau đó mở rộng thêm nhiều khả năng thu thập dữ liệu khác. Mục tiêu chính gồm trình duyệt web, clipboard và local storage.
- Payment card details
- Browser cookies
- Session tokens
- Cryptocurrency wallet data
- FTP credentials
- VPN credentials
- Discord tokens
Trong một số trường hợp, malware còn triển khai clipboard hijacker để thay thế địa chỉ ví tiền mã hóa mà nạn nhân vừa sao chép bằng địa chỉ do kẻ tấn công kiểm soát. Cơ chế này gây chuyển hướng giao dịch theo thời gian thực.
Quy trình thu thập và exfiltration
Sau khi thu thập dữ liệu, Gremlin stealer malware đóng gói toàn bộ nội dung vào một tệp ZIP được đặt theo public IP address của nạn nhân. Dữ liệu sau đó được tải lên một web panel do kẻ tấn công kiểm soát để tải xuống hoặc bán lại.
Đường dẫn exfiltration và địa chỉ máy chủ được lưu cùng cấu hình trong resource section, nên phân tích tĩnh thường không cho ra kết quả rõ ràng. Khi giải mã bằng single-byte XOR, cấu hình plaintext có thể lộ ra các server addresses và upload paths đã được mã hóa trước đó.
Kỹ thuật chống phân tích trong Gremlin stealer malware
Biến thể này thể hiện mức độ phát triển nhanh từ trạng thái ít che giấu sang nhiều lớp anti-analysis. Mục tiêu là làm chậm quá trình điều tra và giảm hiệu quả của công cụ quét dựa trên chữ ký.
1. Đổi tên định danh
Tên lớp, phương thức và biến được đổi thành các nhãn ngắn, vô nghĩa như a, b, hf hoặc bb. Điều này làm mất ngữ cảnh khi đọc mã sau khi decompile.
2. Mã hóa chuỗi
Các chuỗi như password, địa chỉ máy chủ, hoặc tên tài nguyên không còn xuất hiện trực tiếp trong mã. Chúng được lưu ở trạng thái mã hóa và giải mã khi chạy bằng hàm nội bộ.
Việc tìm kiếm các từ khóa như Telegram hoặc wallet.dat trên mã decompiled sẽ không cho kết quả hữu ích nếu chưa thực hiện giải mã runtime.
3. Che giấu luồng điều khiển
Luồng thực thi bị làm rối bằng các nhánh giả, vòng lặp vô nghĩa và các lệnh goto không dẫn đến logic có giá trị. Trong bản decompile, mã có vẻ phức tạp hơn nhiều so với hành vi thực tế.
Các chức năng của Gremlin stealer malware có thể chỉ được giải mã và nạp vào bộ nhớ khi cần. Cách làm này buộc nhà phân tích phải dựa vào công cụ debug động thay vì chỉ phân tích tĩnh.
Ảnh hưởng tới hệ thống bị nhiễm
Gremlin stealer malware nhắm đến hệ thống bị xâm nhập để trích xuất thông tin đăng nhập và dữ liệu nhạy cảm của phiên làm việc. Tác động kỹ thuật tập trung vào rò rỉ dữ liệu nhạy cảm, chiếm quyền truy cập tài khoản và chuyển hướng giao dịch.
Do cấu hình C2 và đường dẫn tải dữ liệu được giấu trong resource sections, các cơ chế phát hiện xâm nhập dựa thuần chữ ký có thể bỏ sót mẫu này. Phân tích hành vi là hướng phù hợp hơn với loại mã độc này.
IOC liên quan đến Gremlin stealer malware
Các chỉ báo dưới đây được trích xuất trực tiếp từ nội dung phân tích. IP và domain đã được defang theo định dạng gốc.
- IP: 194.87.92[.]109
- Loại hạ tầng: Web panel dùng để nhận dữ liệu bị exfiltrate
- Định dạng nén: ZIP archive đặt theo public IP của nạn nhân
Kỹ thuật phân tích cần ưu tiên
Với biến thể này, các công cụ static analysis chỉ cho thấy bề mặt mã bị làm rối. Khi giải mã tài nguyên bằng XOR, nhà phân tích có thể khôi phục được cấu hình máy chủ và đường dẫn tải lên.
Để kiểm tra hành vi thực thi, cần ưu tiên behavioral detection và debug động. Phân tích theo thời gian chạy giúp quan sát dữ liệu được giải mã, luồng nạp module và thời điểm thực hiện exfiltration.
Một số dòng tấn công tương tự cũng sử dụng resource sections để giấu payload, nhưng biến thể này nổi bật ở chỗ kết hợp đồng thời resource obfuscation, string encryption và control-flow obfuscation.
Điểm kỹ thuật cần lưu ý khi săn tìm
Khi rà soát Gremlin stealer malware trong môi trường phân tích, cần chú ý đến các dấu hiệu sau:
- Khối .NET resources có dữ liệu nhị phân bất thường.
- Chuỗi cấu hình không xuất hiện rõ trong PE strings.
- Mã decompile chứa nhiều nhánh giả và vòng lặp không cần thiết.
- Dữ liệu bị nén theo tên ZIP gắn với IP nguồn của nạn nhân.
- Hành vi tải lên đến một web panel không rõ mục đích.
Tham chiếu kỹ thuật
Thông tin bổ sung về phân loại và tình trạng theo dõi có thể đối chiếu trên NVD khi có định danh CVE hoặc mục nhập liên quan. Trong trường hợp này, nội dung phân tích tập trung vào hành vi của mã độc đánh cắp dữ liệu và kỹ thuật ẩn C2, không gắn với một CVE cụ thể.
