Trong bối cảnh liên tục phát triển của các phần mềm đánh cắp thông tin, mã độc 0bj3ctivityStealer nổi lên như một mối đe dọa mạng đáng gờm, kết hợp các kỹ thuật che giấu phức tạp với khả năng đánh cắp dữ liệu mục tiêu.
Được các nhà nghiên cứu của HP Wolf Security phát hiện vào đầu năm nay, phần mềm độc hại dựa trên .NET này đã được Trellix Advanced Research Center chủ động theo dõi và phân tích sâu. Nghiên cứu của Trellix đã hé lộ một chiến dịch lừa đảo mới, thúc đẩy sự lây nhiễm của 0bj3ctivityStealer.
Giới Thiệu 0bj3ctivityStealer: Mối Đe Dọa Mạng Mới
0bj3ctivityStealer là một loại mã độc chuyên đánh cắp thông tin (infostealer) được xây dựng trên nền tảng .NET. Sự xuất hiện của nó đánh dấu một bước tiến mới trong kỹ thuật tấn công, đặc biệt trong việc kết hợp các phương pháp che giấu và lẩn tránh phát hiện.
Phần mềm độc hại này không chỉ tập trung vào việc thu thập thông tin nhạy cảm mà còn sử dụng các kỹ thuật tinh vi để duy trì hoạt động bí mật, gây khó khăn cho các hệ thống phòng thủ truyền thống. Việc phát hiện sớm bởi HP Wolf Security và phân tích chuyên sâu của Trellix đã cung cấp cái nhìn chi tiết về cách thức hoạt động của loại mã độc này.
Chuỗi Lây Nhiễm Phức Tạp và Kỹ Thuật Lừa Đảo
Quá trình lây nhiễm ban đầu của 0bj3ctivityStealer bắt đầu thông qua các email spearphishing được ngụy trang cẩn thận. Các email này thường có chủ đề liên quan đến “Quotation offer” (Đề nghị báo giá), đi kèm với hình ảnh độ phân giải thấp mô phỏng các đơn đặt hàng giả mạo.
Mục tiêu của những email này là lôi kéo nạn nhân nhấp vào liên kết “Download”. Liên kết này sẽ chuyển hướng người dùng đến các tệp JavaScript được lưu trữ trên Mediafire, khởi đầu chuỗi lây nhiễm phức tạp.
Kịch Bản JavaScript Khởi Tạo
Tập lệnh JavaScript ban đầu này được che giấu rất kỹ lưỡng, chứa hơn 3.000 dòng mã rác nhằm gây nhiễu và làm phức tạp quá trình phân tích. Sau khi được giải mã, tập lệnh này sẽ chuyển thành một payload PowerShell.
Payload PowerShell tiếp tục tải một trình nạp .NET (loader) được giấu kín bằng kỹ thuật steganography từ một hình ảnh JPG được lưu trữ trên archive.org. Kỹ thuật này giúp mã độc lẩn tránh các cơ chế phát hiện dựa trên chữ ký.
Kỹ Thuật Steganography và Giải Mã Loader
Để trích xuất trình nạp từ hình ảnh JPG, tập lệnh sẽ quét tìm một mẫu hexadecimal cụ thể trong dữ liệu ảnh. Mẫu này là 0x42 0x4D 0x32 0x55 0x36 0x00 0x00 0x00 0x00 0x00 0x36 0x00 0x00 0x00 0x28 0x00.
Sau khi tìm thấy mẫu, mã độc sẽ trích xuất các giá trị pixel RGB để tái tạo lại trình nạp. Trình nạp này sau đó được thực thi thông qua cơ chế gọi động của dnlib. Sự kết hợp giữa steganography và tải phản chiếu (reflective loading) là một chiến thuật tinh vi, tương tự như các gia đình infostealer khác.
Duy Trì Quyền Truy Cập và Tiêm Payload Chính
Trình nạp VMDetector, sau khi được thực thi, sẽ thiết lập khả năng duy trì quyền truy cập trên hệ thống bị nhiễm thông qua các tác vụ đã lên lịch (scheduled tasks). Điều này đảm bảo rằng mã độc có thể tự khởi động lại sau khi hệ thống khởi động lại.
Tiếp theo, trình nạp này sử dụng kỹ thuật “process hollowing” để tiêm payload 0bj3ctivityStealer cuối cùng vào tiến trình Regasm.exe. Payload này được lấy từ một tệp đã được mã hóa Base64 đảo ngược, lưu trữ trên một subdomain Cloudflare R2. Chuỗi tấn công này, bao gồm steganography và tải phản chiếu, kết hợp với cơ chế giải mã PowerShell tùy chỉnh, tăng cường khả năng tẩn trốn, gây khó khăn cho việc phát hiện trong các môi trường sandbox tự động.
Tham khảo thêm về các tính năng của 0bj3ctivityStealer tại: Trellix A Deep Dive Into 0bj3ctivityStealer’s Features.
Chiến Thuật Né Tránh Phát Hiện và Chống Phân Tích Mã Độc
Để duy trì hoạt động bí mật và tránh bị phân tích, 0bj3ctivityStealer được trang bị một kho vũ khí chống phân tích mạnh mẽ. Những kỹ thuật này giúp mã độc này lẩn tránh cả phân tích tĩnh và phân tích động, kéo dài thời gian hoạt động mà không bị phát hiện.
Mã Hóa Chuỗi và Làm Phẳng Luồng Điều Khiển
Mã độc sử dụng mã hóa chuỗi thông qua các thuật toán Base64 và trừ để che giấu các chuỗi quan trọng trong mã nguồn. Điều này làm cho việc giải mã và hiểu được chức năng của mã độc trở nên khó khăn hơn đối với các nhà phân tích.
Ngoài ra, 0bj3ctivityStealer còn áp dụng kỹ thuật làm phẳng luồng điều khiển (control flow flattening) với các định danh ngẫu nhiên và chèn mã rác (junk code). Những kỹ thuật này nhằm phá vỡ quá trình đảo ngược kỹ thuật (reverse engineering) bằng cách làm cho cấu trúc mã trở nên rối rắm và khó theo dõi.
Kiểm Tra Môi Trường Ảo và Phát Hiện Trình Gỡ Lỗi
Để xác định liệu nó đang chạy trong một môi trường ảo (VM) hay không, mã độc này nhắm mục tiêu vào các DLL cụ thể như SbieDll và cmdvrt32. Đồng thời, nó thực hiện các truy vấn WMI để tìm kiếm các tạo phẩm của Hyper-V hoặc VMware.
Bên cạnh đó, 0bj3ctivityStealer gọi các API như CheckRemoteDebuggerPresent để kiểm tra sự hiện diện của trình gỡ lỗi (debugger). Nếu phát hiện thấy môi trường ảo hoặc trình gỡ lỗi, mã độc sẽ tự động chấm dứt hoạt động để tránh bị phân tích. Cuối cùng, nó sẽ tự xóa bỏ (self-deletion) để xóa bỏ mọi dấu vết trên hệ thống.
Những cơ chế này không chỉ giúp mã độc né tránh phân tích tĩnh mà còn kéo dài thời gian bí mật hoạt động, cho phép nó liệt kê chi tiết siêu dữ liệu hệ thống trước khi nhắm vào các tài sản có giá trị cao.
Thu Thập Thông Tin và Dữ Liệu Mục Tiêu
Khả năng của 0bj3ctivityStealer mở rộng đến một phổ rộng các dữ liệu nhạy cảm, ưu tiên các thông tin đăng nhập từ trình duyệt Chromium và Gecko. Đây là một mối đe dọa mạng đáng kể đối với thông tin cá nhân và doanh nghiệp.
Đánh Cắp Dữ Liệu Trình Duyệt
Mã độc này có khả năng trích xuất toàn diện các thông tin từ trình duyệt, bao gồm:
- Lịch sử duyệt web (histories)
- Cookies
- Mật khẩu đã lưu (passwords)
- Thông tin tự động điền (autofills)
- Dấu trang (bookmarks)
- Thông tin thẻ tín dụng (credit cards)
Đánh Cắp Dữ Liệu Ứng Dụng Nhắn Tin và Email
0bj3ctivityStealer tiếp tục xâm nhập vào các nền tảng nhắn tin tức thời phổ biến bằng cách sao chép các tệp được mã hóa. Các nền tảng mục tiêu bao gồm:
- Telegram
- Signal
- Tox
- Discord
- Pidgin
Ngoài ra, mã độc còn thu thập thông tin đăng nhập email từ Outlook, Windows Messaging (thông qua truy vấn registry), và Foxmail (thông qua kỹ thuật giải mã tương tự như Masslogger).
Nhắm Mục Tiêu Tài Sản Tiền Điện Tử
Tài sản tiền điện tử là một trọng tâm chính của 0bj3ctivityStealer. Mã độc này càn quét các thư mục ví điện tử cho các loại tiền sau:
- Zcash
- Armory
- Ethereum
- Và nhiều loại khác
Bên cạnh đó, nó cũng nhắm mục tiêu các tiện ích mở rộng trình duyệt dành cho ví tiền điện tử như Metamask, Phantom và Ronin trong cả hồ sơ Chrome và Edge.
Các vector tấn công bổ sung bao gồm thông tin đăng nhập FileZilla, hồ sơ WiFi, và giám sát clipboard. Mặc dù tính năng chiếm đoạt tiền điện tử qua clipboard vẫn chưa được triển khai hoàn chỉnh, điều này cho thấy thiết kế của mã độc này tập trung vào việc đánh cắp thông tin đăng nhập trên máy tính xách tay.
Cơ Chế Exfiltration và Mức Độ Ảnh Hưởng
Quá trình exfiltration (đánh cắp và gửi dữ liệu ra ngoài) của 0bj3ctivityStealer dựa trên giao tiếp một chiều thông qua bot Telegram. Đây là một cơ chế hiệu quả để mã độc truyền tải dữ liệu mà không cần nhận lệnh trực tiếp từ kẻ tấn công.
Phương Thức Exfiltration Dữ Liệu
Mã độc gửi dữ liệu đã được nén (zipped data) đến các điểm cuối api.telegram.org. Dữ liệu này được bảo vệ bằng mã hóa bất đối xứng, đảm bảo tính bảo mật trong quá trình truyền tải.
Ngoài ra, mã độc còn có tùy chọn SMTP ở trạng thái ngủ đông với các giữ chỗ (placeholders), cho thấy khả năng thích ứng trong tương lai với các phương thức exfiltration khác. Cơ chế thực thi dựa trên vòng lặp này đảm bảo việc thu thập dữ liệu được lặp đi lặp lại mà không cần nhận lệnh, từ đó khuếch đại tiềm năng rò rỉ dữ liệu.
Phạm Vi Tác Động Toàn Cầu
Dữ liệu đo từ xa (telemetry) chỉ ra rằng 0bj3ctivityStealer có tác động rộng khắp. Số lượng phát hiện đỉnh điểm ở Mỹ, Đức và Montenegro. Các lĩnh vực bị ảnh hưởng chủ yếu bao gồm chính phủ và sản xuất, nhấn mạnh khả năng nhắm mục tiêu cơ hội trên phạm vi toàn cầu của loại mã độc này.
Sự phân bố địa lý rộng lớn và việc nhắm mục tiêu vào các lĩnh vực nhạy cảm cho thấy 0bj3ctivityStealer là một mối đe dọa mạng nghiêm trọng, đòi hỏi sự chú ý cao độ từ các tổ chức và chuyên gia an ninh mạng trên toàn thế giới.
Biện Pháp Giảm Thiểu và Bảo Vệ Hệ Thống
Để đối phó với khả năng lẩn tránh và đánh cắp dữ liệu tinh vi của 0bj3ctivityStealer, việc áp dụng các biện pháp phòng thủ nhiều lớp là điều cần thiết. Một chiến lược bảo mật toàn diện sẽ giúp bảo vệ hệ thống khỏi mã độc này.
Triển Khai Các Biện Pháp Phòng Thủ
Các giải pháp bảo mật cần tích hợp các chữ ký nhận dạng mã độc cụ thể, chẳng hạn như chữ ký InfoStealer.MSIL.0bj3ctivityStealer của Trellix. Điều này giúp phát hiện và ngăn chặn mã độc ở giai đoạn sớm nhất.
Bên cạnh đó, cần thiết lập các quy tắc hành vi để phát hiện các bất thường trong hoạt động của PowerShell. Vì mã độc này sử dụng PowerShell trong chuỗi lây nhiễm và thực thi payload, việc giám sát các hành vi đáng ngờ của PowerShell là cực kỳ quan trọng.
Việc kết hợp các biện pháp này sẽ tăng cường khả năng phát hiện xâm nhập và ngăn chặn dữ liệu bị đánh cắp, bảo vệ tài sản thông tin của tổ chức trước các mối đe dọa liên tục như 0bj3ctivityStealer. An ninh mạng luôn đòi hỏi sự cảnh giác và cập nhật liên tục các biện pháp bảo vệ.
