ACRStealer: Mã Độc Đánh Cắp Thông Tin Với Kỹ Thuật Né Tránh Tinh Vi

23/07/2025
3 mins read

ACRStealer, một loại mã độc đánh cắp thông tin (infostealer) đã được phát hiện từ năm ngoái và bắt đầu bùng phát mạnh mẽ vào đầu năm 2025, tiếp tục phát triển với nhiều sửa đổi tinh vi nhằm né tránh các cơ chế phát hiện và gây khó khăn cho quá trình phân tích.

Ban đầu, mã độc này được Trung tâm Tình báo An ninh AhnLab (ASEC) ghi nhận với khả năng sử dụng Google Docs và Steam làm máy chủ Command-and-Control (C2) thông qua kỹ thuật Dead Drop Resolver (DDR). Các biến thể mới nhất của ACRStealer hiện đã giới thiệu một loạt cải tiến đáng kể.

Những cập nhật này tập trung vào việc vượt qua các công cụ giám sát truyền thống, đồng thời duy trì các khả năng đánh cắp thông tin cốt lõi. Mã độc có khả năng trích xuất dữ liệu từ nhiều nguồn khác nhau, bao gồm:

  • Trình duyệt web
  • Ví tiền điện tử
  • Ứng dụng email client
  • Tài khoản FTP
  • Dịch vụ lưu trữ đám mây
  • Ghi chú dính (sticky notes)
  • Trình quản lý tài khoản
  • Cơ sở dữ liệu
  • Công cụ truy cập từ xa (Remote Access Tools – RATs)
  • Các tập tin tài liệu như DOC, TXTPDF

Ngoài ra, ACRStealer còn có khả năng tạo điều kiện thuận lợi cho việc cài đặt các chủng mã độc bổ sung, khiến nó trở thành một mối đe dọa dai dẳng trong bối cảnh an ninh mạng.

Nội dung
Kỹ thuật Né Tránh Nâng Cao
Heaven’s Gate
Giao Diện Trực Tiếp với AFD
Ngụy Trang Tên Miền C2
Cơ Chế Mã Hóa và Giao Tiếp C2
Mã Hóa Dữ Liệu Cấu Hình
Tiến Hóa Giao Thức C2 và Chứng Chỉ
Mã Hóa Payload
Cải Tiến Quy Trình C2 Gần Đây
Đổi Tên và Mối Đe Dọa Hiện Hành
Chỉ Số Lây Nhiễm (Indicators of Compromise – IOCs)

Kỹ thuật Né Tránh Nâng Cao

Heaven’s Gate

Các tác nhân đe dọa đứng sau ACRStealer đã tích hợp các kỹ thuật như Heaven’s Gate. Kỹ thuật này cho phép thực thi mã x64 trong các tiến trình WoW64 (Windows-on-Windows 64-bit), đặc biệt trong các hoạt động quan trọng như kết nối C2. Phương pháp này, thường được sử dụng trong các mã độc định hướng dịch vụ do tính tương thích hạn chế với bộ xử lý x86, giúp làm gián đoạn quá trình phân tích động (dynamic analysis) và phát hiện dựa trên chữ ký (signature-based detection) bằng cách che giấu luồng thực thi mã.

Giao Diện Trực Tiếp với AFD

Khác với các thư viện giao tiếp C2 thông thường như WinHTTP hoặc Winsock, các biến thể ACRStealer đã được sửa đổi để giao tiếp trực tiếp với Ancillary Function Driver (AFD) bằng cách sử dụng các hàm NT cấp thấp. Các hàm này bao gồm NtCreateFileNtDeviceIoControlFile, được dùng để xử lý các hoạt động socket. Cách tiếp cận này xây dựng cấu trúc HTTP một cách thủ công, từ đó hiệu quả trong việc bỏ qua các cơ chế giám sát và hooking cấp thư viện.

Phân tích cho thấy việc triển khai này có thể lấy cảm hứng từ dự án mã nguồn mở NTSockets, cho phép kẻ tấn công duy trì tính ẩn danh trong quá trình tương tác mạng.

Ngụy Trang Tên Miền C2

Mã độc còn mã hóa cứng (hardcode) các địa chỉ tên miền và địa chỉ IP của máy chủ trong các tiêu đề yêu cầu HTTP. Một số biến thể ngụy trang dưới dạng các tên miền hợp pháp như microsoft.com, avast.com, facebook.com, google.com hoặc pentagon.com để đánh lừa các công cụ giám sát.

Trong một số mẫu, các chiến thuật ngụy trang này khiến các công cụ như VirusTotal hiển thị các tên miền lành tính thay vì các địa chỉ IP độc hại thực tế, ví dụ: 85.208.139.75. Điều này làm phức tạp quá trình gán nhãn mối đe dọa và nỗ lực phản ứng.

Cơ Chế Mã Hóa và Giao Tiếp C2

Mã Hóa Dữ Liệu Cấu Hình

Việc mã hóa dữ liệu cấu hình vẫn nhất quán với các phiên bản trước, sử dụng Base64 tiếp theo là RC4 với khóa: 852149723\x00.

RC4 Key: 852149723\x00

Giao tiếp C2 sử dụng các giao thức HTTP hoặc HTTPS để lấy cấu hình và trích xuất dữ liệu bị đánh cắp.

Tiến Hóa Giao Thức C2 và Chứng Chỉ

Các phiên bản đầu tiên của mã độc dựa vào các máy chủ được lưu trữ trên CloudFlare, hạn chế các sửa đổi máy chủ đối với các mẫu HTTP. Tuy nhiên, các biến thể mới hơn đã tích hợp chứng chỉ tự ký (self-signed certificates) cho HTTPS, cho phép giả mạo tên miền mà không phụ thuộc vào các dịch vụ đám mây.

Mã Hóa Payload

Một lớp mã hóa bổ sung sử dụng AES-256 ở chế độ CBC được áp dụng cho các payload được truyền đi. Mã hóa này sử dụng một khóa và vector khởi tạo (IV) được mã hóa cứng:

AES-256 Key: 7640FED98A53856641763683163F4127B9FC00F9A788773C00EE1F2634CEC82F
AES-256 IV:  55555555555555555555555555555555

Các payload này được thêm tiền tố “enc_” vào URL để phân biệt với các máy chủ cũ.

Cải Tiến Quy Trình C2 Gần Đây

Các mẫu gần đây đã tinh chỉnh hơn nữa quy trình C2 bằng cách áp dụng các chuỗi ngẫu nhiên được máy chủ cấp phát động cho các đường dẫn, thay thế các đường dẫn tĩnh như /Up/x. Đồng thời, các yêu cầu cấu hình đã được chuyển từ phương thức GET sang POST với dữ liệu được cấu trúc JSON. Điều này giới thiệu một quá trình bắt tay (handshake) ban đầu để truy xuất các đường dẫn điểm cuối (endpoint paths), tăng cường khả năng thích ứng và giảm thiểu khả năng phát hiện dựa trên mẫu (pattern-based detection).

Đổi Tên và Mối Đe Dọa Hiện Hành

Theo phân tích của ProofPoint, ACRStealer đã được đổi tên thành AmateraStealer, phản ánh những mở rộng tính năng liên tục khiến nó trở thành một trong những infostealer hoạt động tích cực nhất hiện nay. Người dùng cần hết sức thận trọng, vì các biến thể tiếp tục lan rộng với nhiều chỉ số nhận dạng khác nhau.

Chỉ Số Lây Nhiễm (Indicators of Compromise – IOCs)

Dưới đây là các IOCs được xác định liên quan đến ACRStealer / AmateraStealer:

  • MD5 Hash: 047135bc4ac5cc8269cd3a4533ffa846
  • Địa chỉ IP độc hại: 85.208.139.75
  • Tên miền ngụy trang phổ biến:
    • microsoft.com
    • avast.com
    • facebook.com
    • google.com
    • pentagon.com
  • FQDNs liên quan: Các FQDN (Fully Qualified Domain Name) liên quan khác có thể được tìm thấy trên AhnLab TIP.