Đơn vị Nghiên cứu Mối đe dọa (TRU) của Acronis đã phát hiện một chiến dịch mã độc infostealer tinh vi. Chiến dịch này triển khai nhiều biến thể infostealer khác nhau, bao gồm Leet Stealer, biến thể sửa đổi RMC Stealer và Sniffer Stealer. Chúng sử dụng các chiến thuật kỹ thuật xã hội, tập trung vào sự hứng thú của cộng đồng game thủ.
Tổng quan Chiến dịch Mã độc Infostealer
Các mối đe dọa này được ngụy trang dưới dạng trình cài đặt các tựa game indie giả mạo. Các trò chơi này bao gồm Baruda Quest, Warstorm Fire và Dire Talon. Chúng được quảng bá rộng rãi thông qua các website lừa đảo và kênh YouTube giả mạo.
Kênh phân phối chính của những mã độc infostealer này là Discord. Kẻ tấn công khai thác thương hiệu bị đánh cắp từ các tựa game hợp pháp như Club Cooee, Crossfire: Sierra Squad và Project Feline. Việc này nhằm tạo ra các mồi nhử thuyết phục, lừa người dùng tải về các tệp thực thi độc hại.
Sau khi được tải xuống và thực thi, các tệp này thu thập thông tin xác thực trình duyệt, token Discord và các dữ liệu nhạy cảm khác từ nạn nhân. Ảnh hưởng của chiến dịch là rất nghiêm trọng.
Nó cho phép kẻ tấn công mạo danh nạn nhân để tiếp tục phát tán mã độc, tống tiền hoặc thực hiện các hành vi lừa đảo tài chính. Điều này thường dẫn đến việc chiếm đoạt tài khoản, tổn thất tiền bạc và gây ra căng thẳng tâm lý cho nạn nhân.
Các Biến Thể Mã Độc Chính Được Sử Dụng
Nhiều biến thể mã độc infostealer trong chiến dịch này có nguồn gốc từ Fewer Stealer. Fewer Stealer là một công cụ nền tảng dựa trên Electron, được thiết kế để tạo các ứng dụng desktop đa nền tảng sử dụng JavaScript, HTML, CSS, Node.js và Chromium.
- Leet Stealer: Được giới thiệu vào cuối năm 2024 dưới dạng Malware-as-a-Service (MaaS) với các gói đăng ký từ 30 USD mỗi tháng. Nó có khả năng trích xuất thông tin xác thực và thu thập token. Mã nguồn của Leet Stealer đã được bán vào tháng 4 năm 2025, cùng với Hexon Stealer.
- RMC Stealer: Là một biến thể phát triển từ mã nguồn của Leet Stealer.
- Mave Stealer: Khả năng là một biến thể khác cũng phát triển từ mã nguồn của Leet Stealer.
- Sniffer Stealer: Có vẻ như được phát triển độc lập và không có mối liên hệ rõ ràng với các biến thể gốc từ Leet Stealer.
Phương Thức Phân Phối và Kỹ thuật Xã hội
Những kẻ điều hành chiến dịch đã nâng cao độ tin cậy của các mồi nhử bằng cách tạo ra các tài sản quảng bá chuyên nghiệp. Chúng bao gồm các video trên YouTube và các trang web đa ngôn ngữ. Các trang web này thường mặc định sử dụng tiếng Bồ Đào Nha, điều này có thể chỉ ra nguồn gốc từ Brazil.
Các liên kết tải xuống trên những trang web này thường chuyển hướng người dùng đến các tệp chứa mã độc. Những tệp này thường được lưu trữ trên Discord CDN hoặc Dropbox.
Ví dụ, trang web của game Baruda Quest giả mạo cung cấp các tùy chọn tải xuống cho Windows, Android và macOS. Tuy nhiên, chỉ có tệp thực thi dành cho Windows mới triển khai mã độc infostealer RMC Stealer. Các phiên bản cho nền tảng khác chỉ liên kết đến các trò chơi hợp pháp hoặc vô hại.
Các biến thể Warstorm Fire và Dire Talon lại sử dụng các kho lưu trữ RAR được bảo vệ bằng mật khẩu. Những kho lưu trữ này chứa Sniffer Stealer mà không có bất kỳ nội dung game thực tế nào.
Để che giấu việc cài đặt thất bại, chúng dựa vào các thông báo lỗi giả mạo. Các thông báo này thường viện cớ rằng có vấn đề về tương thích phần cứng. Dữ liệu từ VirusTotal cho thấy số lượng mẫu nộp lên rất lớn từ Brazil và Hoa Kỳ. Điều này nhấn mạnh vai trò quan trọng của Discord trong việc phát tán toàn cầu trong các cộng đồng game thủ.
Kỹ Thuật Khai Thác và Thu Thập Dữ Liệu
Về mặt kỹ thuật, các mẫu mã độc này thường được đóng gói bằng Electron, sau đó được bundle thông qua Nullsoft Scriptable Install System (NSIS). Chúng nhúng mã JavaScript độc hại vào các tệp lưu trữ app.asar.
Những tệp app.asar này có thể được trích xuất và phân tích bằng các công cụ tiêu chuẩn như 7-Zip và tiện ích asar của Node.js. Việc phân tích này giúp các nhà nghiên cứu hiểu rõ hơn về hoạt động bên trong của mã độc.
Kỹ thuật Trốn tránh Sandbox và Môi trường Ảo
Một lỗi hoạt động đáng chú ý trong một mẫu Baruda Quest đã vô tình để lộ mã nguồn không bị mã hóa. Mã nguồn này đã tiết lộ các chiến thuật trốn tránh sandbox của RMC Stealer. RMC Stealer thực hiện kiểm tra các danh sách đen về IP, tên máy chủ (hostnames), tên người dùng, GPU và các tiến trình đang chạy. Việc này được thực hiện thông qua các truy vấn WMIC (Windows Management Instrumentation Command-line).
Ngoài ra, nó cũng kiểm tra dung lượng RAM dưới 2GB để phát hiện các môi trường ảo. Dưới đây là mô tả logic của các truy vấn WMIC mà mã độc có thể sử dụng để kiểm tra môi trường:
// Ví dụ về các truy vấn WMIC được mã độc sử dụng để kiểm tra môi trường
// Kiểm tra thông tin hệ thống để phát hiện các dấu hiệu ảo hóa hoặc danh sách đen
WMIC /NODE:localhost COMPUTERSYSTEM GET Model,Manufacturer,Name,Domain,PartOfDomain,UserName,PrimaryOwnerName,DNSHostName
// Kiểm tra dung lượng bộ nhớ vật lý để xác định môi trường ảo hóa
WMIC ComputerSystem GET TotalPhysicalMemory
// Kiểm tra các tiến trình đang chạy để phát hiện các công cụ phân tích hoặc phần mềm bảo mật
WMIC PROCESS GET Name,CommandLine
Khi các nỗ lực trốn tránh môi trường ảo thất bại, mã độc infostealer sẽ hiển thị các cửa sổ lỗi VBScript giả mạo. Những thông báo lỗi này được thiết kế để đánh lừa người dùng rằng có vấn đề về hệ thống hoặc phần cứng, từ đó che giấu việc thực thi mã độc bị chặn.
Thu thập Thông tin Xác thực và Dữ liệu Nhạy cảm
Khi thực thi thành công, mã độc infostealer nhắm mục tiêu vào các trình duyệt web phổ biến như Chrome, Edge, v.v. Nó thực thi các trình duyệt này ở chế độ gỡ lỗi (debug mode) để trích xuất cookie, mật khẩu và dữ liệu biểu mẫu (form data).
Sau đó, dữ liệu được nén lại và trích xuất ra ngoài thông qua các dịch vụ như gofile.io hoặc các giải pháp thay thế. Mã độc này cũng thu thập token Discord để thực hiện việc chiếm quyền điều khiển tài khoản. Ngoài ra, nó còn thu thập dữ liệu từ Steam, Growtopia, Minecraft, Epic Games, WhatsApp, Telegram và BetterDiscord.
Nó cũng có khả năng tải xuống các payload bổ sung tùy theo yêu cầu của kẻ tấn công. Các bình luận mã nguồn đa ngôn ngữ (tiếng Bồ Đào Nha, tiếng Thổ Nhĩ Kỳ và tiếng Anh) gợi ý rằng có sự hợp tác trong việc sửa đổi và phát triển mã độc.
Báo cáo của Acronis (Acronis Threat Research Unit) cung cấp cái nhìn chi tiết về các kỹ thuật này. Bạn có thể đọc báo cáo đầy đủ của Acronis tại đây để hiểu rõ hơn về các chiến dịch mã độc này.
Tác Động và Tiến Hóa của Mã Độc
Chiến dịch này là một ví dụ điển hình cho sự phát triển của mã độc từ việc chỉ dựa vào các lỗ hổng kỹ thuật. Hiện nay, chúng đã tích hợp sâu rộng các yếu tố kỹ thuật xã hội. Mục tiêu là khai thác các nền tảng phổ biến như Discord và YouTube để nhắm mục tiêu vào game thủ.
Mục tiêu cuối cùng là thu thập thông tin xác thực trên quy mô lớn, dẫn đến các cuộc tấn công mạng quy mô. Khả năng phát hiện và ngăn chặn các mối đe dọa này là rất quan trọng.
Các giải pháp bảo mật như Acronis Cyber Protect Cloud đã chứng minh khả năng phát hiện và chặn các mối đe dọa này. Điều này nhấn mạnh sự kết hợp giữa sự tinh vi về kỹ thuật và sự thao túng tâm lý trong các chiến dịch mã độc infostealer hiện đại.
