ChaosBot: Mã độc ẩn mình trong Discord, biến kênh chat thành công cụ ăn cắp dữ liệu

[WhiteHat Team]

Một loại mã độc mới mang tên ChaosBot vừa được các chuyên gia an ninh mạng cảnh báo đang âm thầm mở rộng phạm vi tấn công thông qua nền tảng Discord giao tiếp quen thuộc với giới trẻ. Điểm nguy hiểm của loại mã độc này không chỉ nằm ở khả năng kiểm soát hoàn toàn thiết bị nạn nhân, mà còn ở cách nó “tàng hình” trong dòng lưu lượng mạng hợp pháp, gần như không thể bị nhận diện bởi các hệ thống bảo mật truyền thống.

​

ChaosBot là một mã độc điều khiển từ xa (RAT) được viết bằng ngôn ngữ Rust, nổi tiếng với khả năng tạo ra phần mềm hiệu năng cao và khó phân tích ngược và khá “khó bóc tách” so với nhiều mã độc truyền thống. Mối đe dọa này được nhóm nghiên cứu từ Picus Security phân tích và công bố sau khi họ phát hiện một chuỗi các cuộc tấn công có hành vi lén gửi và nhận lệnh thông qua API của Discord. Thay vì mở các cổng kết nối trực tiếp đến máy chủ của kẻ tấn công (dễ bị khóa hoặc phát hiện), ChaosBot:

• Xác thực bằng token bot Discord đã nhúng sẵn, rồi tạo một kênh riêng trên một “guild” (máy chủ Discord) do kẻ tấn công quản lý.
• Kênh này được đặt tên theo tên máy tính nạn nhân, trở thành “bảng điều khiển” nơi gửi/nhận lệnh.
• Mã độc liên tục kiểm tra tin nhắn mới trong kênh để nhận lệnh (polling).
• Kết quả lệnh (văn bản, file, ảnh chụp màn hình) được tải lên dưới dạng file đính kèm qua Discord API.

Quy trình tấn công của ChaosBot được thiết kế tinh vi với các bước sau:
1. Giai đoạn xâm nhập thiết bị

• Hacker sử dụng thông tin VPN bị đánh cắp hoặc
• Email phishing (lừa đảo) chứa file shortcut (.LNK) giả mạo để lừa nạn nhân nhấp vào.

2. Thiết lập kênh điều khiển thông qua Discord

• Sau khi chạy, mã độc xác thực token bot Discord được nhúng sẵn qua API hợp pháp.
• Tiếp đó, nó tạo một kênh chat riêng trên Discord được đặt theo tên máy tính nạn nhân.
• Từ đây, kẻ tấn công có một “phòng điều khiển riêng” cho từng nạn nhân.

3. Hacker điều khiển nạn nhân trực tiếp trên Discord
ChaosBot liên tục kiểm tra các tin nhắn mới từ kênh này để nhận lệnh như:

• Shell: Thực thi lệnh hệ thống;
• Download: Tải và chiếm tệp dữ liệu;
• Scr: Chụp màn hình gửi lại cho hacker.

Mọi phản hồi (kết quả lệnh, ảnh chụp, file đánh cắp) đều được gửi ngược lại dưới dạng file đính kèm qua Discord API.

ChaosBot sử dụng nhiều kỹ thuật né tránh phân tích:

• Ngụy trang trong lưu lượng HTTPS hợp pháp của Discord, rất khó bị firewall hoặc IDS/IPS chặn vì Discord thường được tin cậy.
• Vô hiệu hóa ETW (Event Tracing for Windows) nhằm “làm mù” các công cụ phát hiện hành vi đáng ngờ.
• Kiểm tra chống máy ảo (anti-VM) bằng cách dò địa chỉ MAC ảo để né các môi trường sandbox nghiên cứu.
• Sử dụng Rust khiến việc phân tích mã ngược khó hơn nhiều so với C/C++ truyền thống.

ChaosBot có thể khởi đầu từ hai cửa sau phổ biến:

1. Credential compromise (mật khẩu VPN bị lộ): Tin tặc dùng tài khoản VPN hợp lệ để truy cập hệ thống nội bộ.
2. Phishing (lừa đảo): Email/messaging chứa file shortcut (.lnk) độc hại khiến người dùng vô tình chạy mã.

Cả hai cách đều khai thác yếu tố con người hoặc lỗ hổng quản trị, điều dễ hiểu nhưng vẫn thường xảy ra.

ChaosBot là mối nguy có thể gây hậu quả lớn:

• Truy cập và điều khiển toàn diện máy tính: Kẻ tấn công có thể chạy lệnh, tải file, chụp màn hình, thu thập dữ liệu.
• Ngụy trang trong nền tảng hợp pháp: Tận dụng các dịch vụ Cloud/3rd-party để che dấu hoạt động.
• Rủi ro chuỗi cung ứng: Nếu một tài khoản VPN hay một máy tính bị xâm, kẻ tấn công có thể leo thang truy cập trong hệ thống nội bộ.
• Khả năng mở rộng: Cùng kỹ thuật có thể dùng để điều khiển nhiều máy cùng lúc, tạo botnet phục vụ tấn công khác.
• Nó lợi dụng nền tảng hợp pháp khiến các doanh nghiệp có thể không nghi ngờ.
• Biến kênh chat thành cổng điều khiển từ xa, hacker thao tác y như đang trò chuyện.
• Có khả năng duy trì truy cập lâu dài mà không để lại dấu vết rõ ràng.
• Có thể được dùng để:
  • Trộm dữ liệu cá nhân/nhạy cảm;
  • Cài thêm ransomware;
  • Điều khiển hàng loạt máy tính để tạo botnet.

Đây là một mối nguy hiểm đặc biệt với tổ chức không kiểm soát chặt lưu lượng ra vào hoặc thiếu giải pháp endpoint detection nâng cao. Các chuyên gia an ninh mạng WhiteHat khuyến cáo cần thực hiện ngay:

• Thu hồi/đổi ngay credentials và bật MFA
• Giám sát/định tuyến egress HTTPS (inspect hoặc block API Discord nội bộ)
• Phát hiện hành vi PowerShell ép UTF-8 + dấu hiệu patch ETW
• Thực hiện hunt logs để tìm kênh/guild bất thường và tăng huấn luyện ngăn phishing.
• Người dùng tránh mở file .LNK từ nguồn lạ.
• Triển khai EDR có khả năng phát hiện hành vi patch ETW hoặc kiểm tra kết nối bất thường tới Discord API.
• Thường xuyên kiểm tra danh sách ứng dụng chạy nền và tiến trình khả nghi.

Việc lợi dụng Discord như một cơ sở hạ tầng C2 hợp pháp không chỉ làm khó các hệ thống phòng thủ truyền thống mà còn cảnh báo rằng các nền tảng đám mây công cộng đang trở thành “lá chắn ngụy trang” cho giới tấn công. Người dùng cá nhân cần nâng cao cảnh giác khi tải file từ Internet, còn doanh nghiệp phải xác định rõ ràng chính sách sử dụng các nền tảng như Discord để tránh vô tình biến chúng thành “cổng hậu” mở đường cho hacker.

WhiteHat​