Một công cụ đánh cắp thông tin mới được phát hiện, có tên gọi KuinaExtractor, đã âm thầm phát triển trong hơn sáu tháng, đặt ra một mối đe dọa mạng ngày càng gia tăng đối với người dùng trên nhiều nền tảng. Công cụ này được viết bằng ngôn ngữ lập trình Rust, nhắm mục tiêu vào dữ liệu trình duyệt, ví tiền điện tử và thông tin đăng nhập cho các dịch vụ phổ biến bao gồm Roblox, Steam và Discord.
Sự Tiến Hóa Của KuinaExtractor
Điều đáng lo ngại là sự trưởng thành nhanh chóng của mối đe dọa này, từ một bản dựng sơ khai đến một công cụ tinh vi và khó bị phát hiện chỉ trong vài tháng. KuinaExtractor lần đầu xuất hiện vào tháng 12 năm 2025 và kể từ đó đã trải qua bốn giai đoạn phát triển riêng biệt, mỗi giai đoạn bổ sung thêm các khả năng mới và kỹ thuật né tránh sâu hơn.
Phân Tích Các Giai Đoạn Phát Triển
Quá trình phát triển của mã độc này cho thấy một con đường rõ ràng và có chủ đích. Các bản dựng sớm nhất đã bao gồm một kỹ thuật vượt qua mã hóa liên kết ứng dụng Chrome (App-Bound-Encryption) bằng cách giả mạo một tiến trình Windows cốt lõi để khôi phục khóa mã hóa chính của trình duyệt. Trong các phiên bản đầu, việc trích xuất dữ liệu được thực hiện thông qua các webhook của Discord, và GitHub được sử dụng cả làm máy chủ lưu trữ và cơ sở hạ tầng từ xa tạm thời thông qua GitHub Actions. Vai trò hạ tầng với GitHub vẫn còn hoạt động cho đến ngày nay.
Vào tháng 6 năm 2026, nhà phát triển đã đổi tên dự án thành “k0to”, chuyển trọng tâm từ việc bổ sung tính năng mới sang che giấu các tính năng hiện có. Bản dựng mới nhất mã hóa các chuỗi ký tự bằng thuật toán XOR 28 byte, sử dụng chứng chỉ gốc riêng thay vì dựa vào kho lưu trữ đáng tin cậy của hệ thống, và bổ sung một kiểm tra sandbox để quét tiêu đề cửa sổ PowerShell tìm kiếm các công cụ phân tích. Những thay đổi này cho thấy một động thái rõ ràng hướng tới khả năng ẩn mình lâu dài thay vì tăng trưởng tính năng nhanh chóng.
Vào tháng 1 năm 2026, việc trích xuất dữ liệu đã chuyển từ webhook Discord sang bot Telegram, mang lại cho kẻ điều khiển quyền kiểm soát nhiều hơn và làm cho lưu lượng truy cập khó bị gắn cờ hơn. Đồng thời, kỹ thuật vượt qua UAC (User Account Control) ban đầu đã được thay thế bằng một bảng con trỏ hàm cung cấp bảy kỹ thuật leo thang đặc quyền riêng biệt. Sự dư thừa này có nghĩa là mã độc có thể thử nhiều đường dẫn leo thang khác nhau nếu một đường dẫn bị chặn.
Bản sửa đổi tháng 1 cũng bổ sung thêm các hoạt động thu thập thông tin sâu rộng trước khi bắt đầu bất kỳ hoạt động đánh cắp dữ liệu nào. Tám truy vấn phần cứng sử dụng WMIC, liệt kê mạng Wi-Fi, sao lưu Windows Credential Manager và định vị địa lý IP của nạn nhân đều được thực hiện trước quy trình đánh cắp chính. Mã độc cũng bao gồm một vòng lặp được thiết kế để vô hiệu hóa Microsoft Defender. Đến tháng 3 năm 2026, phạm vi hỗ trợ trình duyệt đã tăng lên khoảng 40 ứng dụng và kỹ thuật vượt qua UAC đã chuyển sang kỹ thuật SilentCleanup.
Các Dự Án Phụ và Thử Nghiệm
Trong khi phát triển công cụ đánh cắp chính, cùng một kẻ điều khiển đã chạy hai dự án phụ và sau đó loại bỏ chúng. Dự án đầu tiên, KuinaCookieExtractor, nhắm mục tiêu vào các nền tảng bao gồm Minecraft, FileZilla và dữ liệu phiên Telegram, trích xuất dữ liệu qua Discord thay vì Telegram. Nó chỉ xuất hiện trong khoảng hai tuần. Một thử nghiệm thứ hai có tên “Zenith” đã thoáng xuất hiện với một bản dựng gỡ lỗi để lại các nhật ký chi tiết trên máy tính để bàn của nạn nhân, và một bảng điều khiển tại địa chỉ IP của Việt Nam trước khi bị bỏ rơi.
Những thử nghiệm này cho thấy một kẻ điều khiển tích cực thử nghiệm ý tưởng, sau đó loại bỏ những gì không phù hợp với kế hoạch chính. Việc tái sử dụng nhất quán các dấu hiệu mã, tên người dùng xây dựng và thông tin liên hệ Telegram trên tất cả các dự án đã liên kết mọi thử nghiệm trở lại cùng một cá nhân. Các nhóm bảo mật theo dõi dòng họ mã độc này nên coi bất kỳ mẫu nào mang các dấu hiệu chung này là hoạt động của cùng một kẻ tấn công, bất kể tên hiển thị trong tệp nhị phân.
Các Chỉ Số Tấn Công (Indicators of Compromise – IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm giảm nhẹ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết ngoài ý muốn. Chỉ tái cấu trúc chúng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- [IOC1]
- [IOC2]
- [IOC3]
Việc nâng cao khả năng phòng thủ chủ động chống lại các cuộc tấn công mạng là vô cùng cần thiết. Truy cập 5 chiến thuật săn lùng mối đe dọa đã được chứng minh mà bạn có thể triển khai trong SOC của mình.
KuinaExtractor là một ví dụ điển hình về sự phát triển liên tục của các mối đe dọa đánh cắp thông tin, thể hiện sự tinh vi ngày càng tăng trong kỹ thuật né tránh và phương thức tấn công. Việc hiểu rõ các giai đoạn phát triển và các kỹ thuật được sử dụng là chìa khóa để xây dựng các biện pháp phòng thủ hiệu quả. Theo dõi sát sao các biến thể mới và các chỉ số tấn công liên quan là rất quan trọng để duy trì an toàn thông tin.
Nguồn tham khảo:
