Infostealers là các biến thể phần mềm độc hại chuyên biệt được thiết kế để liên tục đánh cắp một lượng lớn dữ liệu nhạy cảm từ các hệ thống bị xâm nhập. Loại dữ liệu này bao gồm session tokens, thông tin đăng nhập, thông tin ví tiền điện tử, thông tin nhận dạng cá nhân (PII), artifacts xác thực đa yếu tố (MFA) và hầu hết mọi dữ liệu được lưu trữ trong trình duyệt web.
Các mối đe dọa này lây lan qua các chiến dịch lừa đảo (phishing operations), chiến thuật kỹ thuật xã hội (social engineering tactics), quảng cáo độc hại (malvertising) và các chiến dịch thao túng SEO (SEO-manipulated campaigns). Dữ liệu bị đánh cắp thường được thương mại hóa dưới dạng “logs” trên các thị trường ngầm, giá trị của chúng được định đoạt dựa trên khả năng khai thác.
Sự phổ biến này làm trầm trọng thêm các thách thức bảo mật cho cả môi trường người dùng cá nhân và doanh nghiệp. Một thiết bị cá nhân bị xâm nhập có thể vô tình làm lộ thông tin đăng nhập của công ty, thậm chí bỏ qua các biện pháp bảo vệ điểm cuối (endpoint protection) tiên tiến phát hiện việc tái sử dụng thông tin đăng nhập.
Tấn công Infostealer Lumma
Lumma, một infostealer nổi bật được quy cho nhóm tác nhân đe dọa có trụ sở tại Nga là Shamel (còn được biết đến với tên lumma hoặc HellsCoder), đã xuất hiện trên các diễn đàn tội phạm mạng vào năm 2022. Nó nhanh chóng chiếm được thị phần nhờ hiệu quả, giao diện thân thiện với người dùng và khả năng né tránh các hệ thống phát hiện bảo mật.
Lumma thậm chí đã tích hợp một thị trường riêng để bán các log bị đánh cắp. Chỉ riêng trong khoảng thời gian từ tháng 4 đến tháng 6 năm 2024, đã có hơn 21.000 danh sách được ghi nhận, cho thấy quy mô hoạt động của nó.
Phương thức Lây nhiễm và Vectơ Tấn công
Các vụ lây nhiễm Lumma thường bắt nguồn từ việc tìm kiếm phần mềm lậu hoặc phần mềm đã crack, nơi các đối tượng triển khai các file thực thi bị đặt tên sai hoặc nhúng tải trọng (payload) vào các ứng dụng có vẻ hợp pháp.
Các phân tích gần đây vào cuối tháng 3 năm 2025 đã tiết lộ các chiến dịch khai thác các trang web được Google host, với các truy vấn như “download free cracked software site:google.com” điều hướng người dùng đến các trang tải xuống chứa Lumma. Nạn nhân nhấp vào các kết quả này hoặc các liên kết độc hại trên các nền tảng như X (trước đây là Twitter) hoặc Google Colab sẽ được chuyển hướng đến các tên miền phụ chứa các nút “Download Now”, dẫn đến các kho lưu trữ ZIP chứa các tệp ZIP được bảo vệ bằng mật khẩu bên trong.
Việc giải nén các tệp này sẽ tạo ra một trình cài đặt NSIS (ví dụ: setup.exe) triển khai Lumma. Phần mềm độc hại này được làm rối mã (obfuscated) thông qua CypherIT crypter, một công cụ có khả năng thay đổi chữ ký phần mềm độc hại theo nhiều hình thức (polymorphically) để né tránh sự kiểm tra của phần mềm chống vi-rút.
Chiến dịch Triệt phá Cơ sở hạ tầng của Lumma
Vào tháng 5 năm 2025, một nỗ lực phối hợp quốc tế đã làm gián đoạn cơ sở hạ tầng của Lumma, nhắm mục tiêu vào các máy chủ command-and-control (C2) của nó. Microsoft đã có được lệnh của tòa án để thu giữ hoặc chặn 2.300 tên miền liên quan, trong khi Bộ Tư pháp Hoa Kỳ đã giành quyền kiểm soát bảng điều khiển của Lumma. Song song đó, EC3 của Europol cùng với J3C của Nhật Bản đã tháo dỡ các thành phần bổ sung.
Chiến dịch này đã xác định được hơn 394.000 hệ thống Windows bị nhiễm trên toàn cầu, với các sáng kiến khắc phục đang được triển khai.
Sau khi bị gián đoạn, những người điều hành Lumma đã thừa nhận việc cơ quan thực thi pháp luật đã khai thác các lỗ hổng, bao gồm việc xóa đĩa và thỏa hiệp máy chủ sao lưu, đồng thời báo cáo về việc chiếm đoạt tên miền được sử dụng để lừa đảo địa chỉ IP của khách hàng của họ. FBI đặc biệt đã xâm nhập vào một kênh Telegram liên quan, trấn an người dùng rằng “tất cả các log và thông tin tài khoản của bạn đều an toàn với chúng tôi.”
Mặc dù vậy, các máy chủ C2 mới đã nhanh chóng xuất hiện trở lại, báo hiệu sự khôi phục hệ sinh thái của phần mềm độc hại và sự tồn tại dai dẳng của mối đe dọa này.
Phát hiện và Săn lùng Mối đe dọa (Threat Hunting)
Ngoài các chỉ số tĩnh (static indicators) như file hashes hoặc domains – vốn không đáng tin cậy do tính đa hình gây ra bởi crypter và việc luân chuyển C2 thường xuyên – các nhà săn lùng mối đe dọa tập trung vào các mẫu hành vi.
Kỹ thuật Tàng hình và Khai thác LOLBins
Các biến thể Lumma, đặc biệt là những biến thể được đóng gói bằng CypherIT, sử dụng các living-off-the-land binaries (LOLBins) như Tasklist.exe và Findstr.exe để liệt kê các tiến trình đang chạy, xác định các công cụ bảo mật như Bitdefender, ESET, Quick Heal hoặc Sophos để có khả năng chấm dứt chúng.
Hoạt động trinh sát này bắt đầu với một phiên bản cmd.exe khởi tạo một batch script bị làm rối mã, script này lọc đầu ra của Tasklist qua Findstr, dừng thực thi nếu phát hiện các biện pháp phòng thủ.
Phát hiện Dựa trên Hành vi và Kỹ thuật Săn lùng
Các gói săn lùng chuyên biệt, tương thích với các công cụ như Splunk, CrowdStrike LogScale và Microsoft Sentinel, phát hiện các bất thường này bằng cách truy vấn Sysmon logs để tìm các mẫu dòng lệnh đáng ngờ.
Ví dụ, một hoạt động săn lùng trên Splunk có thể tiết lộ các tìm kiếm nhanh chóng của Findstr cho các tệp chứa “password” tiếp theo là các lệnh gọi Tasklist, có khả năng cho thấy các nỗ lực thu thập dữ liệu hoặc duy trì quyền truy cập.
Để phân biệt hoạt động độc hại với hoạt động hợp pháp, cần thiết lập một đường cơ sở (baselining) của các mẫu lịch sử – ví dụ, các hành vi xóa bản sao bóng (shadow copy) không thường xuyên hoặc việc sử dụng công cụ quản trị bất thường. Điều này cho phép các nhà điều tra liên hệ vai trò người dùng, ngữ cảnh máy và nguồn gốc lệnh để xác thực mối đe dọa một cách chính xác.
Hoạt động săn lùng chủ động như vậy, được thông tin bởi các báo cáo tình báo về phần mềm độc hại liên quan đến các chiến dịch lợi dụng phần mềm đã crack để triển khai Lumma, vẫn là yếu tố then chốt để giảm thiểu tác động của infostealer dai dẳng này.
