Tin bảo mật mới nhất ghi nhận một chiến dịch infostealer mạo danh trình cài đặt OpenClaw để chiếm quyền điều khiển hệ thống và đánh cắp dữ liệu nhạy cảm từ hơn 250 tiện ích mở rộng trình duyệt liên quan đến ví tiền mã hóa và trình quản lý mật khẩu. Chiến dịch này hoạt động ít nhất từ 02/2026 và tập trung vào việc lấy cắp thông tin xác thực trên máy người dùng.
Chiến dịch infostealer giả mạo OpenClaw
Điểm khởi đầu của mối đe dọa là một website giả mạo, openclaw-installer[.]com, được đăng ký ngày 09/03/2026. Trang này dẫn nạn nhân tải xuống tệp OpenClaw_x64[.]7z. Bên trong là một file thực thi viết bằng Rust có dung lượng khoảng 130 MB, được thêm dữ liệu giả để vượt qua cơ chế quét bảo mật.
Kích thước lớn là chủ ý. Nó giúp payload vượt các ngưỡng kiểm tra kích thước của antivirus và làm gián đoạn giới hạn tải lên của sandbox tự động trong cùng một bước. Theo báo cáo từ Netskope Threat Labs, chiến dịch này được gọi là wave “Hologram”, là biến thể thứ hai và tinh vi hơn của hoạt động ban đầu: https://www.netskope.com/blog/openclaw-hologram-fake-installer-ships-rust-infostealer.
Chuỗi thực thi và cơ chế né phân tích
Dropper bắt đầu bằng việc kiểm tra môi trường để phát hiện máy ảo hoặc sandbox. Nó quét các chuỗi BIOS gắn với môi trường ảo hóa, thư viện phần mềm đáng ngờ và thông tin phần cứng không khớp với hệ thống thực.
Nếu vượt qua các kiểm tra này, mã độc tiếp tục chờ thao tác chuột thật trước khi thực thi các bước tiếp theo. Sandobox tự động thường không tạo chuyển động chuột, vì vậy mẫu độc hại có thể đứng yên và tránh bị gắn cờ.
Sau khi xác nhận đang chạy trên máy thật, dropper thực hiện các hành vi sau:
- Vô hiệu hóa Windows Defender.
- Mở các cổng tường lửa.
- Tải xuống 6 thành phần mô-đun hoạt động phối hợp.
Thông báo xác nhận chỉ được gửi về kênh Telegram riêng của kẻ tấn công khi toàn bộ 6 mô-đun đã tải thành công.
Chiến dịch infostealer nhắm vào ví crypto và trình quản lý mật khẩu
Phần đánh cắp thông tin xác thực của chiến dịch infostealer này được tổ chức có hệ thống. Malware lấy danh sách mục tiêu từ một kho Azure DevOps do kẻ tấn công kiểm soát, với phạm vi bao phủ 250 browser extensions.
Danh sách gồm 201 ví tiền mã hóa như MetaMask, Phantom, Coinbase, OKX, Rabby và Ronin, cùng 49 ứng dụng quản lý mật khẩu và xác thực như Bitwarden, LastPass, 1Password, NordPass, KeePass và Google Authenticator.
Vì danh sách nằm trong repository từ xa thay vì hardcode trong binary, kẻ tấn công có thể thay đổi mục tiêu mà không cần biên dịch lại malware. Điều này làm cho phạm vi nhắm mục tiêu có thể mở rộng mà không tạo ra dấu hiệu phát hiện mới rõ ràng.
Ngoài dữ liệu từ browser extensions, mã độc còn truy cập dữ liệu Ledger Live trên filesystem, tạo ra hai đường thu thập khác nhau trong cùng một chiến dịch infostealer.
Kỹ thuật mô-đun và duy trì hiện diện
6 mô-đun giai đoạn 2 đảm nhiệm các vai trò riêng. Một mô-đun thu thập fingerprint phần cứng để đánh giá xem nạn nhân có đáng bị tấn công tiếp hay không. Mô-đun khác mở kết nối bền vững đến máy chủ của kẻ tấn công.
Một thành phần thứ ba nạp một .NET assembly trực tiếp vào bộ nhớ bằng module Rust có tên clroxide. Theo tài liệu được công bố, đây là kỹ thuật chưa từng được ghi nhận trước đó trong một chiến dịch crimeware tương tự.
Cơ chế persistence được xếp lớp qua nhiều đường:
- Registry autoruns.
- Windows logon hijack.
- Scheduled task.
- Telegram-based droppers có thể tồn tại ngay cả khi implant chính bị gỡ.
Hạ tầng điều khiển và kỹ thuật che giấu
Điểm đáng chú ý của chiến dịch infostealer này là cách hạ tầng được che giấu. Địa chỉ command server không được hardcode trong malware. Thay vào đó, implant đọc nó từ phần mô tả của một kênh Telegram, vì vậy nếu một domain bị chặn, malware có thể lấy domain mới ở lần check-in tiếp theo.
Trong quá trình phân tích, hạ tầng được xoay vòng liên tục trước khi báo cáo được công bố. Toàn bộ dữ liệu nạn nhân, bao gồm username, IP address và timestamp, được chuyển qua Hookdeck, một dịch vụ webhook relay hợp lệ. Điều này giúp bot token Telegram không xuất hiện trực tiếp trong lưu lượng mạng và làm khó việc truy vết backend điều khiển thực sự.
Dấu hiệu phát hiện và IOC cần theo dõi
Để phát hiện chiến dịch infostealer này, cần ưu tiên tín hiệu hành vi thay vì chỉ chặn domain. Các dấu hiệu dưới đây có thể tồn tại ngay cả khi hạ tầng bị thay đổi.
- Tệp cài đặt có dung lượng lớn bất thường, khoảng 130 MB.
- PowerShell được khởi chạy từ binary đã thả xuống với tên lệnh bị chia nhỏ.
- Lưu lượng outbound đến các domain relay/webhook hợp lệ.
- Kết nối Azure DevOps từ tiến trình không thuộc nhóm phát triển.
- Rule tường lửa được mở tự động trên các cổng 56001–57002.
IOC
- Domain giả mạo: openclaw-installer[.]com
- Archive phát tán: OpenClaw_x64[.]7z
- Manifest name: Hologram
- Mô tả manifest: Decoy entity generator for tactical misdirection
- Kho mục tiêu: Azure DevOps repository do kẻ tấn công kiểm soát
- Hành vi mạng: outbound đến webhook relay service, Telegram-based infrastructure
- Phạm vi cổng mở: 56001–57002
Giám sát và phản ứng
Vì các domain và tầng hạ tầng có thể bị xoay vòng nhanh, chặn tên miền đơn lẻ là không đủ. Cần áp dụng behavioral detection, giám sát tiến trình con của installer, lưu lượng đến dịch vụ relay, và các thay đổi bất thường trên Windows Defender hoặc firewall.
Tham khảo thêm các thực hành giám sát mối đe dọa và tra cứu IOC tại NVD: https://nvd.nist.gov/.
Lưu ý kỹ thuật cho phân tích nội bộ
Chiến dịch này cho thấy một infostealer hiện đại có thể kết hợp kỹ thuật né sandbox, tải mô-đun theo yêu cầu, duy trì hiện diện đa lớp và che giấu command backend bằng các dịch vụ hợp lệ. Các đội an toàn thông tin nên ưu tiên phát hiện theo chuỗi hành vi, đặc biệt khi gặp installer lớn bất thường, kết nối Azure DevOps ngoài ngữ cảnh phát triển và việc mở cổng hệ thống theo cách chương trình hóa.
