Một tác nhân đe dọa hoạt động dưới biệt danh Cyber Products đã thiết lập một cửa hàng công khai tại cyberproducts[.]io để phân phối bộ công cụ mã độc mô-đun của chúng, được đặt tên là mã độc Cyber Stealer. Sự phát triển này đánh dấu một xu hướng chuyển dịch rõ ràng sang việc thương mại hóa các công cụ độc hại, với hoạt động quảng bá bổ sung diễn ra trong các cộng đồng trực tuyến ngầm như Hackforums. Khả năng chính của loại mã độc này là thu thập và gây ra các vụ rò rỉ dữ liệu nhạy cảm từ các hệ thống bị nhiễm.
Phần mềm độc hại này, còn được gọi là Cyber Botnet & Stealer, được định vị là một nền tảng toàn diện, đa năng cho nhiều loại mối đe dọa mạng khác nhau. Nó tận dụng kiến trúc mô-đun để cho phép tùy chỉnh và mở rộng. Cách tiếp cận này giúp những kẻ tấn công tiềm năng có thể tạo ra các tải trọng tùy chỉnh, tích hợp các thành phần khai thác lỗ hổng trên các điểm cuối, mạng và hệ thống mật mã.
Mô hình Malware-as-a-Service (MaaS) và phân phối
Bằng cách dân chủ hóa quyền truy cập thông qua giao diện thương mại điện tử thân thiện với người dùng, Cyber Products đã hạ thấp rào cản gia nhập cho những kẻ tội phạm mạng ít kinh nghiệm, có khả năng làm gia tăng số lượng các cuộc tấn công trên diện rộng. Sự hiển thị của cửa hàng này nhấn mạnh một xu hướng ngày càng tăng, trong đó các mô hình Malware-as-a-Service (MaaS) bắt chước việc phân phối phần mềm hợp pháp, hoàn chỉnh với các cấp giá và tài liệu hỗ trợ. Điều này làm mờ ranh giới giữa các nền kinh tế kỹ thuật số hợp pháp và bất hợp pháp.
Các gói cấp phép của Cyber Stealer
Cyber Stealer được cung cấp theo ba cấp độ cấp phép khác nhau: Regular, Premium và VIP. Mỗi cấp độ cung cấp mức độ chức năng và thời gian truy cập tăng dần, từ một tuần đến gói đăng ký trọn đời. Cấu trúc giá dao động từ mức khởi điểm $99 cho quyền truy cập cơ bản hàng tuần đến gói VIP trọn đời cao cấp với giá $2,999, phản ánh bộ tính năng toàn diện của mã độc.
Khả năng kỹ thuật của mã độc Cyber Stealer
Mã độc Cyber Stealer là một mối đe dọa mạng đa năng, được thiết kế để thực hiện nhiều hoạt động độc hại khác nhau trên các hệ thống bị xâm nhập. Các tính năng cốt lõi của nó được xây dựng để tối đa hóa khả năng trích xuất dữ liệu, kiểm soát hệ thống và ẩn danh hoạt động.
Thu thập thông tin nhạy cảm
Tại cốt lõi của nó, mã độc Cyber Stealer tích hợp các khả năng đánh cắp thông tin tiên tiến. Nó được thiết kế để đánh cắp các dữ liệu nhạy cảm như thông tin đăng nhập, chi tiết tài chính và các định danh cá nhân từ các hệ thống bị nhiễm. Điều này được thực hiện thông qua các kỹ thuật như ghi nhật ký gõ phím (keylogging), chụp màn hình (screen capturing) và thu thập dữ liệu trình duyệt.
Module Clipper
Bổ sung cho khả năng đánh cắp thông tin là các module clipper. Các module này có chức năng chặn và thao túng các giao dịch tiền điện tử bằng cách thay thế địa chỉ ví trong thời gian thực. Điều này tạo điều kiện cho việc trộm cắp tiền điện tử một cách thầm lặng trong quá trình vận hành bảng nhớ tạm (clipboard operations).
Chức năng đầu độc DNS
Đối với các hoạt động gây rối loạn cấp độ mạng, bộ công cụ này bao gồm các chức năng đầu độc DNS (DNS poisoning). Kỹ thuật này bao gồm việc chèn các bản ghi DNS độc hại để chuyển hướng lưu lượng truy cập đến các máy chủ do kẻ tấn công kiểm soát. Từ đó, nó cho phép thực hiện các cuộc tấn công trung gian (man-in-the-middle attacks) hoặc leo thang lừa đảo (phishing escalations).
Công cụ tấn công DDoS
Nâng cao hơn nữa kho vũ khí tấn công của mình, Cyber Stealer nhúng các công cụ DDoS (Distributed Denial of Service). Các công cụ này có khả năng dàn dựng các cuộc tấn công lũ lụt dựa trên khối lượng (volumetric), giao thức (protocol), hoặc lớp ứng dụng (application-layer floods) để làm quá tải hạ tầng mục tiêu. Thường thì nó sẽ tận dụng sự điều phối của botnet để gia tăng tác động.
Khai thác tiền điện tử ẩn danh
Một trình đào tiền điện tử ẩn danh (silent cryptocurrency miner) hoạt động một cách bí mật, chiếm đoạt tài nguyên hệ thống như chu kỳ CPU và GPU để đào tiền kỹ thuật số mà người dùng không hề hay biết. Nó sử dụng các kỹ thuật chèn tiến trình (process injection) và chống phân tích (anti-analysis techniques) để né tránh các giải pháp phát hiện và phản hồi điểm cuối (EDR).
Khả năng Reverse Proxy
Việc bao gồm các khả năng reverse proxy cho phép tạo đường hầm lưu lượng (traffic tunneling) và ẩn danh (anonymization). Điều này hỗ trợ giao tiếp điều khiển và kiểm soát (C2 – Command-and-Control) liên tục qua các kênh được mã hóa. Điều này giúp kẻ tấn công duy trì kết nối với các hệ thống bị nhiễm một cách khó bị phát hiện.
Truy cập Shell từ xa
Truy cập shell từ xa (remote shell access) cung cấp cho kẻ tấn công khả năng thực thi lệnh tương tác trên các máy chủ bị xâm nhập. Điều này tạo điều kiện thuận lợi cho việc di chuyển ngang (lateral movement) trong mạng thông qua các giao thức như SSH hoặc các công cụ cấy ghép tùy chỉnh.
Ký mã doanh nghiệp (EV Code Signing)
Đáng chú ý, các biến thể Premium của mã độc Cyber Stealer tự hào có tính năng ký mã doanh nghiệp (EV – Enterprise Volume code-signing). Tính năng này sử dụng các chứng chỉ bị đánh cắp hoặc được mua một cách gian lận để vượt qua các biện pháp kiểm soát bảo mật và đạt được các đặc quyền thực thi cao hơn trong môi trường Windows. Theo một báo cáo từ KrakenLabs, tính năng này khai thác sự tin cậy vào các tệp nhị phân đã được ký, có khả năng tăng tỷ lệ lây nhiễm thành công chống lại các phần mềm chống virus hiện đại và cơ chế khởi động an toàn (secure boot mechanisms). Tuy nhiên, hiệu quả thực tế của các khả năng này chưa được xác minh độc lập bởi phân tích của bên thứ ba, đặt ra câu hỏi về tiềm năng bị thổi phồng trong các quảng cáo ngầm.
Để biết thêm chi tiết về cách thức Malware-as-a-Service (MaaS) hoạt động và những xu hướng phát triển, bạn có thể tham khảo thêm tại GBHackers on Security.
Tác động và Chiến lược An ninh Mạng
Thiết kế mô-đun của mã độc Cyber Stealer phù hợp với các xu hướng tiến hóa rộng lớn hơn của phần mềm độc hại, nơi mã đa hình (polymorphic code) và khả năng mở rộng dựa trên plugin làm phức tạp các chữ ký phát hiện và các chiến thuật hành vi được sử dụng bởi các nền tảng thông tin về mối đe dọa (threat intelligence platforms). Các nhà nghiên cứu bảo mật đang theo dõi những diễn biến này nhấn mạnh sự cần thiết phải tăng cường giám sát tên miền, thu thập thông tin từ diễn đàn và chia sẻ thông tin tình báo hợp tác để phá vỡ các thị trường như vậy trước khi chúng phát triển rộng hơn.
Chiến lược đối phó và giám sát
Khi các tác nhân đe dọa tiếp tục hoàn thiện các công cụ này, các tổ chức được khuyến nghị củng cố các biện pháp phòng thủ bằng các chiến lược đa lớp. Điều này bao gồm phân đoạn mạng (network segmentation), kiến trúc Zero Trust và phát hiện bất thường theo thời gian thực (real-time anomaly detection). Các biện pháp này sẽ giúp giảm thiểu rủi ro do các bộ công cụ mã độc được thương mại hóa như mã độc Cyber Stealer gây ra. Việc tăng cường an ninh mạng toàn diện là yếu tố then chốt để bảo vệ hệ thống và dữ liệu.
