Raven Stealer: Mã độc đánh cắp thông tin tinh vi, nguy hiểm

18/09/2025
7 mins read
Raven Stealer: Mã độc đánh cắp thông tin tinh vi, nguy hiểm

Raven Stealer là một mã độc đánh cắp thông tin tinh vi, được thiết kế để gây thiệt hại nghiêm trọng đến dữ liệu nhạy cảm của người dùng. Phần mềm độc hại hiện đại này đánh dấu sự phát triển đáng lo ngại trong công nghệ đánh cắp thông tin xác thực, kết hợp các kỹ thuật né tránh tiên tiến với khả năng trích xuất dữ liệu hiệu quả.

Raven Stealer nổi bật là một loại mã độc đánh cắp thông tin gọn nhẹ nhưng cực kỳ hiệu quả, được phát triển chủ yếu bằng DelphiC++. Các nhà nghiên cứu an ninh mạng đã xác định đây là một mối đe dọa mạng đáng kể, nhắm mục tiêu vào Google Chrome và các trình duyệt dựa trên Chromium khác. Thông tin chi tiết về mối đe dọa này đã được ghi nhận.

Được thiết kế để hoạt động lén lút và hiệu quả, phần mềm độc hại này yêu cầu tương tác tối thiểu từ người dùng. Đồng thời, nó duy trì khả năng che giấu hoạt động đặc biệt tốt.

Nội dung
Mục Tiêu và Dữ Liệu Bị Đánh Cắp bởi Raven Stealer
Cơ Chế Kỹ Thuật và Khai Thác của Raven Stealer
Các Giai Đoạn Phân Tích Mã Độc
Thiết Kế Mô-đun và Tích Hợp Telegram C2
Kênh Phân Phối và Thương Mại Hóa
Chiến Lược Thực Thi Nội Bộ
Trích Xuất Dữ Liệu Thời Gian Thực và Cấu Trúc Lưu Trữ
Các Loại Dữ Liệu Bị Đánh Cắp Chi Tiết
Kỹ Thuật Né Tránh Phát Hiện Nâng Cao của Mã Độc
Mã Hóa Payload ChaCha20
Process Hollowing và Thực Thi Trong Bộ Nhớ
Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro Bảo Mật
Hệ Thống Phát Hiện Dựa Trên Hành Vi
Giám Sát Lưu Lượng Mạng và Telegram
Nâng Cao Nhận Thức Người Dùng
Giải Pháp Kỹ Thuật và Cập Nhật Bản Vá

Mục Tiêu và Dữ Liệu Bị Đánh Cắp bởi Raven Stealer

Raven Stealer nhắm mục tiêu cụ thể vào các trình duyệt dựa trên Chromium, bao gồm Chrome, EdgeBrave. Mã độc này thu thập một cách có hệ thống các dữ liệu nhạy cảm từ các hệ thống bị nhiễm.

  • Mật khẩu
  • Cookie
  • Dữ liệu thanh toán
  • Các mục nhập tự động điền (autofill entries)

Cách tiếp cận tinh vi của mã độc đánh cắp thông tin này liên quan đến việc truy cập các đường dẫn lưu trữ cục bộ và kho lưu trữ thông tin xác thực (credential vaults) trong các trình duyệt. Điều này cho phép kẻ tấn công đánh cắp thông tin đăng nhập để có khả năng xâm phạm tài khoản và trích xuất dữ liệu.

Cơ Chế Kỹ Thuật và Khai Thác của Raven Stealer

Điều khiến Raven Stealer đặc biệt nguy hiểm là khả năng giải mã dữ liệu trình duyệt nhạy cảm. Mã độc này truy cập các khóa mã hóa AES được lưu trữ trong tệp Local State của trình duyệt. Sau đó, nó chuyển đổi thông tin xác thực đã mã hóa sang định dạng văn bản rõ để dễ dàng đánh cắp.

Các Giai Đoạn Phân Tích Mã Độc

Phân tích mã độc thường trải qua bốn giai đoạn chính, cung cấp cái nhìn sâu sắc về cách thức hoạt động của mã độc đánh cắp thông tin như Raven Stealer:

  • Phân tích thuộc tính tĩnh (static properties analysis)
  • Phân tích hành vi tương tác (interactive behavior analysis)
  • Phân tích tự động hoàn toàn (fully automated analysis)
  • Đảo ngược mã thủ công (manual code reversing)

Thiết Kế Mô-đun và Tích Hợp Telegram C2

Raven Stealer sử dụng các khả năng kỹ thuật tiên tiến, khiến nó khác biệt so với các loại mã độc thông thường. Mã độc này áp dụng thiết kế mô-đun với trình chỉnh sửa tài nguyên tích hợp sẵn.

Điều này cho phép kẻ tấn công nhúng các chi tiết cấu hình, chẳng hạn như Telegram bot tokens, trực tiếp vào payload. Cách tiếp cận hợp lý này giúp việc triển khai trở nên dễ dàng ngay cả đối với các tác nhân đe dọa có kỹ năng thấp, mở rộng đáng kể phạm vi tiếp cận tiềm năng của nó.

Việc tích hợp Telegram cho các hoạt động tương tự như Command-and-Control (C2), kết hợp với giao diện người dùng hợp lý, giúp tối ưu hóa việc quản lý và vận hành của mã độc đánh cắp thông tin này.

Kênh Phân Phối và Thương Mại Hóa

Phân phối Raven Stealer thường xảy ra thông qua các diễn đàn ngầm và được đóng gói cùng với phần mềm bẻ khóa (cracked software). Điều này khiến nó trở thành một rủi ro bảo mật dai dẳng đối với cả môi trường cá nhân và doanh nghiệp.

Mã độc được quảng bá tích cực qua các kênh Telegram chuyên dụng. Tại đây, tội phạm mạng có thể truy cập các công cụ xây dựng (builder tools) và tài nguyên hỗ trợ.

Việc thương mại hóa các công cụ mã độc này cho thấy sự phát triển của bối cảnh tội phạm mạng, nơi các cuộc tấn công tinh vi ngày càng dễ tiếp cận hơn.

Chiến Lược Thực Thi Nội Bộ

Chiến lược thực thi của Raven Stealer liên quan đến các tài nguyên nhúng được lưu trữ trong phần .rsrc, một phương pháp phổ biến của Delphi để đóng gói các mô-đun bên ngoài. Các tài nguyên này được giải nén và tải vào bộ nhớ trong quá trình thực thi.

Điều này cho phép mã độc hoạt động mà không cần thả tệp xuống đĩa, tăng cường đáng kể khả năng tàng hình và tiềm năng né tránh của nó.

Trích Xuất Dữ Liệu Thời Gian Thực và Cấu Trúc Lưu Trữ

Một trong những tính năng đáng lo ngại nhất của Raven Stealer là khả năng trích xuất dữ liệu theo thời gian thực thông qua tích hợp Telegram bot.

Mã độc này hợp nhất các thông tin xác thực bị đánh cắp và thông tin hệ thống trong một cấu trúc thư mục phân cấp dưới %Local%\RavenStealer. Nó tổ chức dữ liệu thu thập được để truyền tải hiệu quả đến kẻ tấn công.

Raven Stealer nhúng các thông tin xác thực Telegram nhạy cảm, đặc biệt là Chat_IDBot_Token, dưới dạng văn bản rõ trong phần tài nguyên của nó. Chúng sử dụng các ID tài nguyên lần lượt là 102103.

Các Loại Dữ Liệu Bị Đánh Cắp Chi Tiết

Dữ liệu bị đánh cắp bao gồm nhiều loại thông tin nhạy cảm được tổ chức một cách có hệ thống thành các tệp riêng biệt:

  • Cookie trình duyệt: Được tổng hợp từ nhiều trình duyệt dựa trên Chromium và lưu trữ trong các tệp cookies.txt. Điều này cho phép chiếm quyền phiên (session hijacking) và mạo danh người dùng.
  • Thông tin xác thực đã giải mã: Bao gồm tên người dùng và mật khẩu được biên dịch trong các tệp passwords.txt. Điều này tạo điều kiện cho việc truy cập tài khoản trái phép trên nhiều nền tảng.
  • Chi tiết thẻ tín dụng và thẻ ghi nợ: Cùng với thông tin thanh toán, được trích xuất từ trình duyệt và lưu trong các tệp payment.txt. Điều này tạo cơ hội cho gian lận tài chính và đánh cắp danh tính.

Raven Stealer cũng chụp ảnh màn hình máy tính của nạn nhân. Nó nén tất cả các tạo tác đã thu thập vào các kho lưu trữ ZIP để truyền tải.

Các tệp này sau đó được gửi đến kẻ tấn công qua Telegram bằng cách sử dụng điểm cuối API. Điều này cung cấp cho tội phạm mạng quyền truy cập toàn diện vào cuộc sống kỹ thuật số và thông tin tài chính của nạn nhân.

Kỹ Thuật Né Tránh Phát Hiện Nâng Cao của Mã Độc

Raven Stealer thể hiện khả năng né tránh tinh vi thông qua việc triển khai kỹ thuật tiêm payload được mã hóa và làm rỗng tiến trình (process hollowing).

Mã Hóa Payload ChaCha20

Mã độc này nhúng payload DLL chính của nó bằng cách sử dụng mã hóa ChaCha20. Điều này giúp giữ nó ẩn trong chính nhị phân của nó trong khi tránh bị phát hiện bởi các biện pháp bảo mật truyền thống.

Process Hollowing và Thực Thi Trong Bộ Nhớ

Trong quá trình thực thi, mã độc đánh cắp thông tin này sử dụng kỹ thuật làm rỗng tiến trình phản chiếu (reflective process hollowing). Nó khởi chạy các phiên bản trình duyệt Chromium mới ở trạng thái tạm dừng và tiêm các DLL đã giải mã vào các tiến trình hợp pháp này.

Kỹ thuật này cho phép mã độc thực thi dưới danh tính phần mềm đáng tin cậy. Điều này bỏ qua hiệu quả các hệ thống phát hiện dựa trên hành vi và chữ ký dựa vào danh tiếng tiến trình và các chữ ký độc hại đã biết.

Cách tiếp cận thực thi trong bộ nhớ đảm bảo rằng mã độc hại không bao giờ chạm vào đĩa ở dạng đã giải mã của nó. Điều này khiến việc phân tích pháp y và phát hiện trở nên khó khăn hơn đáng kể đối với các chuyên gia bảo mật và các hệ thống tự động.

Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro Bảo Mật

Các tổ chức và người dùng cá nhân có thể thực hiện một số biện pháp phòng thủ để bảo vệ chống lại Raven Stealer và các mối đe dọa tương tự. Việc áp dụng các biện pháp an toàn thông tin là cực kỳ quan trọng để đối phó với loại mã độc đánh cắp thông tin này.

Hệ Thống Phát Hiện Dựa Trên Hành Vi

Hệ thống phát hiện mối đe dọa dựa trên hành vi (behavioral-based threat detection systems) tỏ ra hiệu quả nhất đối với loại mã độc này. Chúng có thể xác định các hoạt động đáng ngờ bất kể kỹ thuật né tránh của mã độc.

Giám Sát Lưu Lượng Mạng và Telegram

Giám sát thường xuyên lưu lượng truy cập Telegram và các hoạt động mạng nói chung có thể giúp phát hiện các nỗ lực trích xuất dữ liệu tiềm ẩn, đặc biệt trong môi trường doanh nghiệp. Đây là một phần quan trọng của chiến lược an ninh mạng.

Nâng Cao Nhận Thức Người Dùng

Giáo dục người dùng vẫn là yếu tố then chốt trong việc ngăn chặn các lây nhiễm ban đầu, vì mã độc này thường lây lan qua các chiến thuật lừa đảo (phishing) và tải xuống phần mềm độc hại.

Các tổ chức nên triển khai các chương trình nâng cao nhận thức bảo mật toàn diện. Các chương trình này nên tập trung vào các rủi ro bảo mật khi tải xuống phần mềm bẻ khóa và nhấp vào các liên kết hoặc tệp đính kèm đáng ngờ.

Giải Pháp Kỹ Thuật và Cập Nhật Bản Vá

Các biện pháp phòng thủ kỹ thuật nên bao gồm các giải pháp chống vi-rút cập nhật với tính năng bảo vệ thời gian thực được bật. Ưu tiên các giải pháp sử dụng khả năng phân tích hành vi nâng cao để phát hiện xâm nhập.

Giám sát hiệu suất hệ thống thường xuyên thông qua Task Manager có thể giúp xác định các tiến trình bất thường hoặc các mẫu tiêu thụ tài nguyên. Đây là dấu hiệu tiềm ẩn của sự hiện diện mã độc.

Quan trọng nhất, việc cập nhật bản vá phần mềm liên tục giúp đóng các lỗ hổng mà mã độc có thể khai thác để truy cập hệ thống ban đầu. Thực hiện bản vá bảo mật định kỳ là điều cần thiết để duy trì an toàn thông tin.

Sự xuất hiện của Raven Stealer đại diện cho một bước phát triển đáng kể trong mã độc đánh cắp thông tin. Nó kết hợp các khả năng kỹ thuật tinh vi với các công cụ triển khai thân thiện với người dùng, dân chủ hóa các cuộc tấn công mạng tiên tiến.

Khi mối đe dọa này tiếp tục phát triển, cả người dùng cá nhân và tổ chức đều phải cảnh giác và thực hiện các biện pháp bảo mật toàn diện để bảo vệ dữ liệu nhạy cảm khỏi những mối đe dọa mạng ngày càng tinh vi này.