Một loại mã độc Windows mới đang gây quan ngại sâu sắc trong giới chuyên gia an ninh mạng do phạm vi ảnh hưởng rộng và bộ khả năng sâu bất thường. Mã độc này, được biết đến với tên gọi Lucid Stealer, được phát hiện thông qua các kênh ngầm trên Telegram. Nó không chỉ giới hạn ở việc đánh cắp một vài mật khẩu đã lưu mà còn có thể chiếm toàn quyền kiểm soát máy bị nhiễm mà nạn nhân không hề hay biết.
Khả năng Vượt qua Phòng thủ
Điều khiến mã độc này đặc biệt nguy hiểm là cách nó ngụy trang. Toàn bộ gói mã độc được đóng gói bên trong một môi trường thực thi Node.js hợp pháp, khiến nó trông giống như một ứng dụng phần mềm thông thường đối với hầu hết các công cụ bảo mật tiêu chuẩn.
Cách đóng gói tinh vi này cho phép nó vượt qua các biện pháp phòng thủ cơ bản, đồng thời âm thầm thực hiện nhiều hoạt động độc hại khác nhau trong nền.
Nghiên cứu và Phân tích
Các nhà nghiên cứu tại Foresiet đã xác định và phân tích tĩnh bản dựng Lucid Stealer này sau khi nhận thấy hoạt động gia tăng [https://cybersecuritynews.com/new-nwhstealer-delivery-chain-uses-bun-loader/] liên quan đến một kênh Telegram chuyên biệt quảng bá công cụ này như một sản phẩm trả phí theo hình thức đăng ký.
Foresiet cho biết trong một báo cáo [https://foresiet.com/blog/lucid-stealer-malware-analysis-report/] được chia sẻ với Cyber Security News (CSN) rằng mẫu này có khả năng vượt xa một trình đánh cắp thông tin xác thực thông thường, kết hợp cả việc đánh cắp dữ liệu và truy cập từ xa thời gian thực trong một bản dựng duy nhất.
Mã độc này được bán dưới dạng một dịch vụ thương mại, bao gồm một bảng điều khiển web được lưu trữ, khóa cấp phép và kênh hỗ trợ tích cực.
Hoạt động và Phát triển Liên tục
Các nhà điều hành đã tạm thời ngừng dự án vào cuối tháng 5 năm 2026 trước khi khởi động lại vài ngày sau đó, thông báo về việc xây dựng lại hoàn toàn trang web và thậm chí có kế hoạch chuyển đổi từ Node.js sang Java để cải thiện khả năng lẩn tránh. Điều này cho thấy những kẻ đứng sau đang tích cực đầu tư vào việc cải thiện và mở rộng mối đe dọa này.
Ảnh hưởng Hệ thống
Tình hình đặc biệt nghiêm trọng vì các vụ nhiễm trùng nên được xem là xâm phạm hoàn toàn. Thông tin xác thực, cookie trình duyệt, phiên Discord, khóa ví tiền điện tử và dữ liệu phiên Roblox đều có nguy cơ bị đánh cắp ngay khi mã độc chạy.
Các chuyên gia phòng thủ được khuyến nghị hành động nhanh chóng và giả định rằng mọi thứ được lưu trữ trên máy bị nhiễm đã bị kẻ tấn công xem xét.
Mục tiêu Đa dạng của Lucid Stealer
Lucid Stealer được thiết kế để nhắm mục tiêu vào gần như mọi khía cạnh trong cuộc sống số của người dùng. Bản dựng được phân tích nhắm mục tiêu vào 18 trình duyệt, 21 định dạng clipper tiền điện tử, bảy ví tiền điện tử trên máy tính để bàn, bảy tiện ích mở rộng trình duyệt ví và bốn biến thể ứng dụng Discord.
Nó tìm kiếm các thông tin xác thực đã lưu, cookie phiên, dữ liệu tự động điền và lịch sử trình duyệt bằng cách sử dụng một công cụ SQLite tích hợp để truy vấn trực tiếp cơ sở dữ liệu trình duyệt đã sao chép.
Mã độc này tự tiêm vào các ứng dụng Discord để đánh cắp token và sửa đổi ứng dụng để liên tục gửi dữ liệu bị đánh cắp trở lại. Nó cũng giám sát hoạt động của clipboard, vì vậy bất kỳ địa chỉ ví tiền điện tử nào mà nạn nhân sao chép có thể bị âm thầm thay thế [https://cybersecuritynews.com/boryptgrab-stealer-spreads-via-fake-github-repositories/] bằng một địa chỉ do kẻ tấn công kiểm soát.
Các khả năng này hoạt động cùng nhau để rút cạn cả tài khoản tài chính và nền tảng giao tiếp cùng một lúc.
Module Truy cập Từ xa Tinh vi
Điều thực sự làm nên sự khác biệt của mối đe dọa này là module truy cập từ xa của nó. Mã độc bao gồm một tính năng điều khiển máy tính để bàn ẩn, được gọi là HVNC [https://cybersecuritynews.com/purehvnc-rat-developers/], cho phép kẻ điều hành chiếm quyền kiểm soát máy tính một cách trực quan mà không cần mở bất kỳ cửa sổ hiển thị nào trên màn hình nạn nhân.
Kết hợp với một remote shell, trình quản lý tệp, keylogging và chụp ảnh màn hình, kẻ tấn công về cơ bản có quyền truy cập tương tự như thể họ đang ngồi trước máy tính.
Quy trình Lây nhiễm
Mã độc xâm nhập dưới dạng một kho lưu trữ ZIP được bảo vệ bằng mật khẩu. Sau khi mở, nó thực hiện một quy trình thiết lập nhiều lớp, thả các tệp trợ giúp, thiết lập tính bền vững trong registry Windows và tùy chọn cố gắng giành được quyền ưu tiên nâng cao.
Khi tải trọng chính giải mã và chạy, kẻ tấn công đã có một chỗ đứng vững chắc.
Khuyến nghị Phát hiện và Phòng chống
Các nhóm bảo mật nên tập trung vào phát hiện dựa trên hành vi [https://cybersecuritynews.com/what-security-teams-should-know-about-your-marketing-email-platform/] thay vì chỉ dựa vào hash tệp, vì các nhà điều hành đã công bố kế hoạch xây dựng lại mã độc trên một nền tảng mới.
Việc săn lùng các bản sao tự động tạm thời trong thư mục TEMP của Windows được ngụy trang dưới dạng tệp “winupd”, các mục registry Run đáng ngờ có tên WindowsUpdate và các tệp module .node bất thường xuất hiện trong hồ sơ người dùng là những dấu hiệu mạnh mẽ nhất của một vụ nhiễm trùng đang hoạt động.
Các chuyên gia phòng thủ mạng nên chặn tất cả lưu lượng truy cập đến địa chỉ C2 đã biết và theo dõi các yêu cầu POST lặp đi lặp lại tới các điểm cuối ghi nhật ký và tải lên nội bộ như một xác nhận bổ sung.
Các Chỉ số Khả năng Xâm nhập (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố ý làm mất tác dụng (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ khôi phục lại định dạng chuẩn trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Các mối đe dọa tiềm ẩn và các cuộc tấn công mạng luôn thay đổi. Việc cập nhật thông tin bảo mật mới nhất và áp dụng các biện pháp phòng ngừa phù hợp là cực kỳ quan trọng để bảo vệ hệ thống và dữ liệu.
