tin tức bảo mật mới nhất cho thấy NWHStealer đã quay trở lại với một chuỗi phát tán phức tạp hơn trên Windows, trong đó Bun JavaScript runtime được đưa vào quy trình nhiễm mã độc. Mối đe dọa này nhắm tới việc đánh cắp dữ liệu từ hệ thống bị nhiễm và giảm khả năng bị phát hiện trong giai đoạn triển khai ban đầu.
Chuỗi phát tán NWHStealer trên Windows
NWHStealer là một malware viết bằng Rust, có khả năng thu thập thông tin hệ thống, đánh cắp dữ liệu trình duyệt và tài khoản đã lưu, cũng như trích xuất ví tiền mã hóa. Điểm đáng chú ý trong chiến dịch này là cách phát tán qua các gói trông giống phần mềm hợp lệ, khiến người dùng dễ mở và thực thi mà không nghi ngờ.
Malware được phát tán qua Node.js scripts, MSI installers và các bản tải xuống giả mạo trên những nền tảng chia sẻ tệp phổ biến như GitHub, GitLab, SourceForge và Itch.io. Việc tận dụng nguồn tải xuống hợp pháp hoặc quen thuộc giúp chiến dịch này tăng tỷ lệ xâm nhập trái phép vào hệ thống người dùng cuối.
Gói nén và tên tệp ngụy trang
Quá trình lây nhiễm bắt đầu bằng một tệp ZIP giả dạng game trainer, phần mềm crack hoặc công cụ tiện ích. Một số tên archive đã được ghi nhận gồm:
- MOUSE_PI_Trainer_v1.0.zip
- FiveM Mod.zip
- TradingView-Activation-Script-0.9.zip
- AutoTune 2026.zip
Bên trong archive là Installer.exe, chứa mã JavaScript và runtime Bun được đóng gói trong phần .bun. Cấu trúc này cho phép loader khởi chạy logic độc hại theo cách ít bị chú ý hơn so với các mẫu phát tán truyền thống.
Phân tích chuỗi tải mã độc và anti-VM
Chuỗi cảnh báo CVE hay lỗ hổng phần mềm không được đề cập trong mẫu này; thay vào đó, rủi ro đến từ kỹ thuật đóng gói và phát tán. Tệp JavaScript độc hại được chia thành hai thành phần chính: sysreq.js và memload.js.
File sysreq.js chạy các lệnh PowerShell và WMI để xác định hệ thống thật hay môi trường ảo. Nó kiểm tra số lượng CPU, dung lượng đĩa, độ phân giải màn hình, nhà sản xuất phần cứng và cả username. Một cơ chế chấm điểm được dùng để quyết định có tiếp tục lây nhiễm hay dừng lại.
Đây là lớp anti-VM checks nhằm tránh bị phân tích trong môi trường sandbox hoặc hệ thống nghiên cứu bảo mật tự động. Cách làm này làm giảm khả năng phát hiện tấn công ở giai đoạn đầu của chuỗi thực thi.
Giao tiếp C2 và giải mã cấu hình
File memload.js chịu trách nhiệm giao tiếp với máy chủ command-and-control. Chuỗi và cấu hình được mã hóa bằng XOR kết hợp base64, khiến phân tích tĩnh trở nên khó hơn. Loader gửi về C2 các thông tin như IP công khai của nạn nhân, chi tiết hệ thống và ảnh chụp màn hình.
Sau đó, nó tải về một payload được mã hóa bằng AES và triển khai NWHStealer trực tiếp vào bộ nhớ. Cơ chế này giúp giảm dấu vết trên đĩa và làm phức tạp quá trình phát hiện xâm nhập.
Tham khảo tài liệu nghiên cứu gốc tại Malwarebytes Threat Intel.
Tác động của NWHStealer lên hệ thống bị xâm nhập
Khi đã vào được máy, NWHStealer có thể thu thập thông tin hệ thống, đánh cắp dữ liệu đã lưu trong trình duyệt và lấy mật khẩu. Malware còn nhắm vào ví tiền mã hóa, Discord, Steam và các FTP client như FileZilla.
Khả năng thực thi trên hệ thống bị xâm nhập gồm:
- Chèn mã độc vào tiến trình trình duyệt.
- Vượt qua Windows User Account Control.
- Duy trì quyền tồn tại bằng scheduled tasks.
- Lấy địa chỉ C2 mới từ Telegram để duy trì hoạt động sau khi một phần hạ tầng bị vô hiệu hóa.
Những tính năng này làm tăng rủi ro bảo mật cho cả người dùng cá nhân lẫn môi trường doanh nghiệp, đặc biệt khi thông tin nhạy cảm bị thu thập và truyền ra ngoài hệ thống.
Kỹ thuật dự phòng và cơ chế duy trì hoạt động
Trong một số archive, các nhà nghiên cứu phát hiện loader phụ dw.exe nằm trong thư mục “DW”. Một file Readme.txt hướng dẫn người dùng chạy dw.exe thủ công nếu trình cài đặt chính thất bại. Đây là cơ chế dự phòng giúp chiến dịch vẫn tiếp tục ngay cả khi C2 chính gián đoạn.
Thiết kế này cho thấy hạ tầng được chuẩn bị để tránh gián đoạn khi một phần chuỗi bị gỡ bỏ. Trong bối cảnh mối đe dọa mạng thay đổi liên tục, khả năng tự phục hồi như vậy làm tăng độ bền của chiến dịch phát tán.
IOC liên quan đến chiến dịch
IOC dưới đây được trích xuất từ nội dung gốc. IP và domain được ghi chú theo trạng thái defang nếu có, cần re-fang trong môi trường phân tích an toàn như SIEM, MISP hoặc VirusTotal.
- Tên archive: MOUSE_PI_Trainer_v1.0.zip, FiveM Mod.zip, TradingView-Activation-Script-0.9.zip, AutoTune 2026.zip
- Tệp thực thi: Installer.exe, dw.exe
- Tệp JavaScript: sysreq.js, memload.js
- Cơ chế mã hóa: XOR, base64, AES
- Hạ tầng C2: được phân phối lại qua Telegram
Hướng dẫn kiểm tra và giảm rủi ro bảo mật
Để giảm nguy cơ từ chiến dịch lỗ hổng CVE-không-liên-quan này, trọng tâm là kiểm tra nguồn tải xuống và tính hợp lệ của gói cài đặt. Chỉ tải phần mềm từ nguồn chính thức, đã xác thực danh tính nhà phát hành.
Nên kiểm tra chữ ký số của file trước khi chạy. Phần mềm hợp lệ thường có thông tin ký số nhất quán và có thể xác minh. Nếu archive có cấu trúc bất thường, tên tệp không khớp nội dung quảng bá, hoặc yêu cầu chạy thủ công một file phụ, cần coi đó là dấu hiệu cảnh báo.
Trong quá trình phát hiện tấn công, có thể ưu tiên rà soát các hành vi sau:
- Thực thi PowerShell và WMI bất thường từ file mới tải về.
- Tiến trình liên quan đến Bun hoặc Node.js khởi chạy từ archive nén.
- Ghi nhận kết nối ra ngoài tới hạ tầng C2 với dữ liệu base64 hoặc chuỗi đã mã hóa.
- Thao tác tự động hóa bằng scheduled tasks sau khi người dùng mở file ZIP.
Những dấu hiệu này giúp đội ngũ an ninh mạng nhận diện sớm hệ thống bị tấn công và hạn chế khả năng đánh cắp dữ liệu hoặc duy trì quyền truy cập trái phép.
Góc nhìn kỹ thuật về phát tán qua nền tảng hợp pháp
Chiến dịch tận dụng các nền tảng chia sẻ phổ biến để làm tăng mức độ tin cậy bề ngoài. Khi gói tải xuống trông giống tiện ích, bản crack hoặc trainer, người dùng thường bỏ qua kiểm tra kỹ thuật cơ bản. Đây là yếu tố khiến tin bảo mật mới nhất về NWHStealer đáng chú ý ở khía cạnh phân phối hơn là khai thác lỗ hổng.
Đối với môi trường cần bảo mật thông tin chặt chẽ, việc kiểm soát nguồn tải xuống, kiểm tra hash, và giám sát thực thi tiến trình lạ là các bước quan trọng để giảm thiểu mối đe dọa tương tự.
