Phân Tích Chuyên Sâu về Infostealer Ngụy Trang Keygen và Phần Mềm Cracks
Trung tâm Tình báo An ninh AhnLab (ASEC) đã công bố một phân tích kỹ lưỡng vào tháng 6 năm 2025, xác định phần mềm độc hại infostealer ngụy trang dưới dạng keygen và phần mềm cracked là một trong những vector tấn công chính. Các đối tượng đe dọa sử dụng kỹ thuật SEO poisoning nâng cao để đưa các trang web phân phối độc hại lên đầu các kết quả tìm kiếm, tăng khả năng lây nhiễm.
Bên cạnh đó, các tác nhân đe dọa ngày càng khai thác các trang web hợp pháp như diễn đàn, bảng hỏi đáp, và phần bình luận của các công ty để đăng các liên kết lừa đảo. Điều này cho phép chúng vượt qua các hàng rào an ninh truyền thống, tiếp cận người dùng mà không bị phát hiện bởi các cơ chế phòng thủ thông thường.
Hệ Thống Thu Thập và Phản Ứng Tự Động của ASEC
Các hệ thống thu thập phần mềm độc hại tự động của ASEC, bao gồm giám sát các bản crack, honeypot email, và công cụ phân tích C2 (Command and Control), đã góp phần vào việc giảm thiểu mối đe dọa một cách chủ động. ASEC thu thập các mẫu phần mềm độc hại trong thời gian thực, trích xuất các chỉ số C2, và sau đó phổ biến chúng thông qua dịch vụ ATIP IOC (Threat Intelligence Platform Indicator of Compromise).
Cơ sở hạ tầng này không chỉ tự động hóa việc xác định tính độc hại mà còn tích hợp với các nền tảng như VirusTotal để chia sẻ thông tin tình báo mối đe dọa rộng hơn. Điều này cho phép các đội ngũ an ninh chặn các giao tiếp C2 một cách chủ động, ngăn chặn các cuộc tấn công trước khi chúng gây ra thiệt hại đáng kể.
Xu Hướng và Đa Dạng của Infostealer
Báo cáo của ASEC đã chỉ ra một sự thay đổi đáng chú ý về sự đa dạng của các biến thể infostealer. Mặc dù LummaC2 vẫn duy trì khối lượng phân phối cao, nó đang phải đối mặt với sự cạnh tranh từ các biến thể mới nổi như Rhadamanthys, ACRStealer, Vidar, và StealC. Đặc biệt, một biến thể ACRStealer mới được sửa đổi đã gia tăng đáng kể về số lượng do các kỹ thuật né tránh được tăng cường.
Dữ liệu phân phối hàng năm cho thấy một sự sụt giảm đáng kể về khối lượng infostealer trong tháng 6 so với các tháng trước đó. Sự sụt giảm này chủ yếu được quy cho việc giảm hoạt động của LummaC2. Mặc dù vậy, các hệ thống của ASEC đã thu thập hầu hết các mẫu trước khi chúng có sẵn trên VirusTotal, một lần nữa nhấn mạnh hiệu quả của các phản ứng tự động trong việc phát hiện sớm và đối phó với các mối đe dọa.
Kỹ Thuật Thực Thi và Né Tránh
Phương Thức Thực Thi
Các phương thức thực thi phần mềm độc hại chủ yếu ưu tiên các định dạng EXE trực tiếp, chiếm 94,4% các trường hợp được ghi nhận. Một phần nhỏ hơn, khoảng 5,6%, sử dụng kỹ thuật DLL-SideLoading. Trong kỹ thuật này, các DLL độc hại được ghép nối với các tệp thực thi hợp pháp để khai thác liên kết động (dynamic linking) cho mục đích tiêm mã (code injection).
Kỹ thuật DLL-SideLoading chỉ yêu cầu sửa đổi tối thiểu đối với các DLL hợp pháp và thường xuyên né tránh được sự phát hiện bằng cách bắt chước chữ ký tệp gốc. Điều này làm nổi bật sự cần thiết của phân tích hành vi (behavioral analysis) nâng cao trong các giải pháp bảo mật hiện đại để phát hiện các mối đe dọa tinh vi như vậy.
Các Biến Thể Infostealer Nổi Bật và Kỹ Thuật Né Tránh Mới
Biến thể ACRStealer nâng cao
Các xu hướng nổi bật trong tháng 6 bao gồm sự phổ biến của một biến thể ACRStealer được sửa đổi, hoạt động dưới dạng Malware-as-a-Service (MaaS) kể từ năm 2024. Biến thể này tích hợp các lời gọi hàm NT function calls cho giao tiếp C2 và sử dụng kỹ thuật HTTP host domain spoofing để che giấu lưu lượng truy cập độc hại. Ngoài ra, nó còn triển khai các cơ chế chống phân tích (anti-analysis mechanisms) như ntdll manual mapping và Heaven’s Gate để né tránh trên các kiến trúc khác nhau (cross-architecture evasion).
Các sửa đổi tích cực của biến thể này đòi hỏi sự cảnh giác cao độ từ các tổ chức và chuyên gia bảo mật. Chi tiết về biến thể này được ASEC mô tả trong tài liệu ASEC Notes.
Biến thể Infostealer mới với giao diện cài đặt giả mạo
Một biến thể infostealer mới lạ khác đã xuất hiện, khác biệt so với các mẫu thông thường bằng cách hiển thị một giao diện cài đặt giả mạo. Sau khi được thực thi, nó sao chép chính nó tới đường dẫn C:\Program Files (x86)\Windows NT\TableTextService\svchost.exe và đăng ký cơ chế tự động thực thi thông qua khóa registry HKCU\Software\Microsoft\Windows\CurrentVersion\Run với giá trị TableTextServiceStartup.
Sau khi khởi động lại hệ thống, phần mềm độc hại này sẽ phủ các cửa sổ không kiểm soát được lên trình duyệt của người dùng, buộc họ tải xuống các bản cập nhật được cho là từ các trang phishing bắt chước phần mềm hợp pháp như Opera. Điều này có thể dẫn đến việc phân phối thêm các payload khác dựa trên các điều kiện kích hoạt cụ thể, làm gia tăng mức độ rủi ro.
Kỹ thuật né tránh mới: Mật khẩu nhúng trong file ảnh
Một đổi mới khác trong kỹ thuật né tránh liên quan đến việc nhúng mật khẩu giải nén vào các tệp hình ảnh trong các kho lưu trữ được bảo vệ bằng mật khẩu. Kỹ thuật này làm thất bại các công cụ bảo mật tự động dựa vào việc trích xuất mật khẩu dựa trên văn bản, cho thấy mức độ tinh vi ngày càng tăng của các tác nhân đe dọa trong việc che giấu hoạt động độc hại của chúng.
Khuyến Nghị và Giám Sát Mối Đe Dọa
Báo cáo của ASEC kêu gọi các tổ chức tham khảo dịch vụ ATIP để có được số liệu thống kê toàn diện về các mục tiêu ngụy trang, tác động đến ngành, các tích hợp phishing, và các sản phẩm bị phát hiện. Điều này nhấn mạnh sự tinh vi ngày càng tăng của các infostealer trong hệ sinh thái ứng dụng cracked. Việc liên tục cập nhật thông tin tình báo về mối đe dọa là rất quan trọng để bảo vệ các hệ thống và dữ liệu.
