NOVABLIGHT, một biến thể mới của mã độc đánh cắp thông tin (Malware-as-a-Service – MaaS), đang nổi lên như một mối đe dọa mạng đáng kể. Mã độc đánh cắp thông tin này được thiết kế để nhắm mục tiêu vào người dùng, sở hữu các khả năng đánh cắp dữ liệu tiên tiến.
Phân tích kỹ thuật mã độc NOVABLIGHT
NOVABLIGHT được phát triển và rao bán bởi Sordeal Group, một nhóm tác nhân đe dọa thể hiện khả năng sử dụng tiếng Pháp thành thạo. Ban đầu, mã độc đánh cắp thông tin này được quảng cáo là một “công cụ giáo dục” trên các nền tảng như Telegram và Discord. Tuy nhiên, phân tích chuyên sâu từ Elastic Security Labs đã hé lộ mục đích thực sự của nó.
NOVABLIGHT là một mã độc đánh cắp thông tin dạng mô-đun, giàu tính năng, được xây dựng dựa trên NodeJS và framework Electron. Mục tiêu chính là đánh cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập và dữ liệu ví tiền điện tử.
Cấu trúc và Mục tiêu
Các kênh bán hàng chính của Sordeal Group thường công khai các hoạt động của họ, phơi bày rõ ràng các mục tiêu độc hại, hoàn toàn trái ngược với tuyên bố “giáo dục”. Mã độc đánh cắp thông tin này tận dụng các ứng dụng phổ biến dựa trên Electron như Discord, ví Exodus và ví Atomic. Nó tiêm mã độc hại để đánh cắp thông tin đăng nhập thông qua các Discord webhooks và Telegram APIs có thể cấu hình.
Phương thức phân phối và xâm nhập ban đầu của NOVABLIGHT
NOVABLIGHT được phân phối thông qua các chiến dịch lừa đảo. Điển hình là việc sử dụng các trình cài đặt trò chơi điện tử giả mạo làm mồi nhử truy cập ban đầu. Một ví dụ cụ thể là một URL độc hại thúc đẩy người dùng tải xuống trình cài đặt trò chơi tiếng Pháp, giả mạo một bản phát hành Steam gần đây. Thông tin chi tiết về các chiến dịch lừa đảo thường liên quan đến việc chiếm quyền điều khiển các luồng email hoặc các phương tiện truyền thông khác.
Khi được thực thi, mã độc đánh cắp thông tin này triển khai một quy trình đa tầng. Quy trình này bao gồm các bước kiểm tra trước khi khởi chạy, biện pháp chống phân tích, thu thập dữ liệu và trích xuất dữ liệu.
Kỹ thuật né tránh và khả năng tấn công nâng cao
NOVABLIGHT sở hữu các khả năng phát hiện môi trường sandbox và phá hoại hệ thống. Nó sử dụng các kỹ thuật che giấu mạnh mẽ, gây khó khăn cho việc phát hiện và phân tích. Các kỹ thuật này bao gồm ánh xạ mảng (array mapping), mã hóa chuỗi base91 và che giấu luồng điều khiển (control flow obfuscation).
Ngoài ra, mã độc đánh cắp thông tin này còn sử dụng kỹ thuật chiếm quyền điều khiển clipboard để thay thế địa chỉ ví tiền điện tử. Hành động này có thể chuyển hướng quỹ của nạn nhân đến những kẻ tấn công. Mã độc đánh cắp thông tin NOVABLIGHT cũng tải xuống các công cụ để giải mã dữ liệu từ các trình duyệt dựa trên Chromium.
Mô hình kinh doanh và hạ tầng của NOVABLIGHT
Sordeal Group kiếm tiền từ NOVABLIGHT thông qua mô hình đăng ký. Họ cung cấp các khóa API có thời hạn từ 1 đến 12 tháng. Người dùng có thể sử dụng các khóa này để tạo các phiên bản mã độc đánh cắp thông tin thông qua Telegram bots hoặc các kênh Discord. Nhóm này còn thúc đẩy chương trình giới thiệu và cung cấp quyền truy cập vào một bảng điều khiển. Bảng điều khiển này được lưu trữ trên các tên miền như api.nova-blight[.]top và shadow.nova-blight[.]top, dùng để quản lý dữ liệu bị đánh cắp.
Mặc dù được tuyên bố là có mục đích giáo dục, các tương tác trong cộng đồng trên Telegram lại cho thấy người dùng chia sẻ ảnh chụp màn hình các giao dịch mua sắm xa xỉ và chuyển tiền. Điều này làm nổi bật tác động thực tế của mã độc đánh cắp thông tin NOVABLIGHT.
Hạ tầng bền vững và các mối đe dọa liên tục
Hạ tầng của NOVABLIGHT đặc biệt kiên cường, sử dụng sự kết hợp giữa các dịch vụ lưu trữ tệp của bên thứ ba và các máy chủ backend chuyên dụng để trích xuất dữ liệu. Điều này đảm bảo tính liên tục trong hoạt động ngay cả khi các kênh chính bị gián đoạn. Elastic Security Labs đã ghi nhận rằng mã độc đánh cắp thông tin này đang được phát triển tích cực, với các bản cập nhật liên tục đảm bảo nó duy trì là một mối đe dọa liên quan. Xem chi tiết phân tích tại: Elastic Security Labs: MaaS Appeal – An Infostealer Rises from the Ashes.
Dấu hiệu nhận biết và biện pháp phòng ngừa
Sự phù hợp của NOVABLIGHT với các chiến thuật MITRE ATT&CK trải dài từ thực thi (Execution), duy trì (Persistence), né tránh phòng thủ (Defense Evasion), truy cập thông tin đăng nhập (Credential Access) đến trích xuất dữ liệu (Exfiltration). Điều này nhấn mạnh sự phức tạp của mã độc đánh cắp thông tin này và nhu cầu về các cơ chế phát hiện mạnh mẽ.
Elastic đã phát triển các quy tắc YARA để xác định hoạt động của NOVABLIGHT. Điều này đóng vai trò quan trọng trong việc tăng cường khả năng an ninh mạng và bảo vệ hệ thống khỏi mã độc đánh cắp thông tin phức tạp này.
Các chỉ số thỏa hiệp (IOCs)
Dựa trên thông tin thu thập được, các chỉ số thỏa hiệp (IOCs) liên quan đến NOVABLIGHT bao gồm:
- Tên miền C2 và quản lý dữ liệu:
api.nova-blight[.]topshadow.nova-blight[.]top- Phương thức phân phối (ví dụ về URL độc hại):
https://gbhackers.com/phishing-hijacks-email-thread/(ví dụ về chiến dịch lừa đảo phân phối mã độc)https://gbhackers.com/malware-telegram-bots/(ví dụ về việc sử dụng Telegram bots để xây dựng mã độc)
