InvisibleFerret là một biến thể mã độc đánh cắp thông tin được gắn với một nhóm đe dọa đã âm thầm thay đổi cách phát tán để né phát hiện xâm nhập. Điểm thay đổi chính là việc chuyển từ các tệp Python dạng script sang binary được biên dịch bằng Cython, khiến nhiều quy tắc phát hiện dựa trên script không còn hiệu quả. Đây là một tin tức bảo mật đáng chú ý đối với môi trường phát triển phần mềm và hệ thống có dùng Python.
InvisibleFerret Chuyển Sang .pyd Và .so Để Né Phát Hiện
Trong phiên bản cập nhật, InvisibleFerret không còn xuất hiện dưới dạng Python script thuần túy. Trên Windows, mã độc được đóng gói thành tệp .pyd; trên macOS, nó dùng định dạng .so. Cả hai đều là thư viện nhị phân, không thể chạy độc lập nếu không có Python interpreter.
Cách đóng gói này làm thay đổi đáng kể bề mặt phát hiện tấn công. Các công cụ tìm kiếm theo dấu hiệu script, chuỗi lệnh hoặc cấu trúc file Python có thể bỏ sót payload đã được biên dịch. Đây là điểm then chốt trong bối cảnh mối đe dọa mạng ngày càng chuyển sang kỹ thuật ngụy trang ở tầng file và runtime.
Cơ Chế Thực Thi Và Lẩn Tránh
Để xử lý cách triển khai mới, chuỗi nhiễm tạo thêm một tệp .mod xuống đĩa rồi dùng tệp này để khởi chạy binary đã biên dịch. Điều đó giúp mã độc giữ được luồng thực thi trong khi tránh bị nhận diện bởi các công cụ kiểm tra chỉ tập trung vào script Python.
Phân tích nhị phân vẫn có thể trích xuất một số thông tin như IP và port, nhưng các giá trị này có thể bị ghi đè trong runtime bằng tham số dòng lệnh. Vì vậy, chỉ dựa vào phân tích tĩnh là chưa đủ để phát hiện tấn công hoặc dựng lại hành vi điều khiển từ xa.
Khả Năng Của InvisibleFerret Sau Khi Biên Dịch
Bản cập nhật không làm thay đổi logic cốt lõi của InvisibleFerret. Mã độc vẫn giữ đầy đủ chức năng của một mối đe dọa mạng chuyên đánh cắp dữ liệu nhạy cảm và mở rộng quyền truy cập trái phép trên hệ thống bị xâm nhập.
Các khả năng chính gồm:
- Mở backdoor để duy trì truy cập.
- Đánh cắp thông tin đăng nhập trình duyệt.
- Theo dõi hoạt động clipboard.
- Ghi lại keystroke.
- Nhắm tới cryptocurrency wallet.
Đây là kiểu hành vi điển hình của một chiến dịch data breach nhắm vào tài khoản, khóa ký và thông tin xác thực của nhà phát triển phần mềm. Trong môi trường có CI/CD, nguy cơ còn mở rộng sang pipeline build và hệ thống production.
BeaverTail Và Chuỗi Tấn Công Nhiều Giai Đoạn
Thành phần đi kèm là BeaverTail, ban đầu chỉ là downloader nhưng nay đã tiến hóa thành một thành phần nguy hiểm hơn. Nó có khả năng thu thập thông tin xác thực và nhắm vào ví tiền số, đóng vai trò quan trọng trong chuỗi cuộc tấn công mạng.
BeaverTail hiện có bốn biến thể chính:
- gjs: Thực hiện đánh cắp dữ liệu và tải xuống các thành phần tiếp theo.
- njs: Cung cấp chức năng backdoor.
- zjs: Đánh cắp seed phrase và private key.
- cjs: Cài đặt tiện ích mở rộng trojanized trên trình duyệt.
Bản thân BeaverTail cũng được tăng cường kỹ thuật làm rối mã. Mã nguồn mới trộn nhiều mảnh Base64 ở giai đoạn khởi động, loại bỏ ký tự rác trong chuỗi mã hóa và dùng XOR encryption với khóa 4 byte cho các chuỗi nhạy cảm như đường dẫn tệp.
Kỹ Thuật Làm Rối Và Điều Khiển C2
Trong quá trình phân tích, địa chỉ command-and-control được chia đôi rồi hoán đổi trước khi mã hóa Base64. Đây là kỹ thuật làm khó việc truy vết lưu lượng và khiến việc xây dựng IOC theo chuỗi tĩnh kém hiệu quả hơn.
Với các biến thể đã được biên dịch, nhóm phòng thủ cần ưu tiên binary-aware detection, tức là phát hiện dựa trên đặc trưng nhị phân, module nạp, artifact nhúng và hành vi runtime thay vì chỉ tìm script bất thường.
Hệ Thống Và Đối Tượng Bị Ảnh Hưởng
Chiến dịch này đặc biệt nhắm tới nhà phát triển phần mềm, người dùng crypto và các tổ chức có nhân sự giữ signing keys hoặc quyền truy cập vào CI/CD pipelines. Đây là các môi trường mà thông tin xác thực có giá trị cao và có thể dẫn tới rủi ro an toàn thông tin nghiêm trọng nếu bị lộ.
Hệ thống bị ảnh hưởng thường là các máy trạm phát triển, máy macOS dùng Chrome hoặc Brave Browser, và môi trường có cài đặt tiện ích ví tiền số. Trên macOS, việc hạ cấp Chrome để vượt qua framework bảo mật tiện ích mở rộng mới là một dấu hiệu đáng chú ý trong điều tra.
Theo báo cáo của Trend Micro, phiên bản mới đã được biên dịch để né phát hiện dựa trên script. Xem thêm tại: Trend Micro Research.
Dấu Hiệu Và IOC Cần Theo Dõi
Nội dung gốc không cung cấp danh sách IOC đầy đủ ở dạng IP, domain hay hash. Tuy vậy, có thể trích xuất các chỉ dấu kỹ thuật sau để phục vụ phát hiện tấn công trong môi trường giám sát:
- Tệp .pyd trên Windows xuất hiện trong chuỗi thực thi liên quan đến Python.
- Tệp .so trên macOS được dùng như payload thay vì script Python đọc được.
- Tệp .mod được thả xuống đĩa để khởi chạy binary.
- Hoạt động bất thường trong đường dẫn .vscode.
- Chrome downgrade trên macOS.
- Tiện ích mở rộng trình duyệt bị chỉnh sửa để nhắm vào MetaMask, Coinbase Wallet, Phantom.
IOC về C2 và hạ tầng được nói là có thể tách ra từ phân tích nhị phân, nhưng các giá trị cụ thể không được công bố trong nội dung gốc. Khi xử lý trong SIEM hoặc threat intelligence platform, cần kiểm tra cả artifact nhị phân, tham số khởi chạy và dấu vết tải module.
Hướng Dẫn Điều Tra Kỹ Thuật
Đối với đội phân tích malware, nên kiểm tra chuỗi nhiễm theo hướng xác định điểm nạp module và logic giải mã thay vì chỉ xem nội dung script. Những hệ thống có Python-based threats detection cũ có thể không còn đủ để nhận diện biến thể này.
Các dấu hiệu cần ưu tiên gồm:
- Binary Python extension không phù hợp với ứng dụng hợp lệ.
- File script phụ trợ được tạo ra rồi thực thi ngay sau đó.
- Trình duyệt truy cập hoặc tải tiện ích mở rộng không chuẩn.
- Chuỗi Base64 bị xáo trộn mạnh và kết hợp XOR.
Trong điều tra sâu hơn, người phân tích có thể áp dụng cùng phương pháp deobfuscation cho các phiên bản cũ vì logic lõi của InvisibleFerret vẫn giữ nguyên bên trong các binary đã biên dịch. Điều này giúp rút ngắn thời gian phát hiện xâm nhập và xác minh phạm vi ảnh hưởng.
Khuyến Nghị Phòng Thủ Theo Hành Vi
Các nhóm an ninh cần chuyển từ phát hiện chỉ dựa trên script sang binary-aware approaches. Việc giám sát nên bao gồm module extension, file artifact được tạo ra trong runtime, và các tiến trình Python bất thường trong môi trường phát triển.
Trong thực tế vận hành, cần chú ý đến các dấu hiệu sau:
- Tiện ích mở rộng trình duyệt bị cài đặt hoặc thay thế trái phép.
- Hoạt động Python bất thường trong thư mục .vscode.
- Xuất hiện file .pyd, .so hoặc .mod không rõ nguồn gốc.
- Lưu lượng kết nối ra ngoài có tham số C2 biến đổi trong runtime.
Với các môi trường chứa signing keys, ví tiền số và quyền truy cập pipeline, việc kiểm tra định kỳ, cập nhật bản vá và giám sát hành vi thực thi là cần thiết để giảm rủi ro bảo mật từ chiến dịch này.
