-
09/04/2020
-
140
-
1.885 bài viết
Infostealer đang biến thiết bị cá nhân thành điểm xâm nhập doanh nghiệp
Theo phân tích trên hơn 10.000 người dùng bị nhiễm mã độc trong năm 2025, ranh giới giữa thiết bị cá nhân và môi trường doanh nghiệp gần như đã biến mất. Khi nhân viên làm việc từ xa, dùng laptop công ty cho mục đích cá nhân hoặc chia sẻ thiết bị với người thân, các mã độc đánh cắp dữ liệu (infostealer) đang trở thành “cửa hậu” trực tiếp dẫn vào hạ tầng doanh nghiệp.
Điều đáng lo ngại là phần lớn nạn nhân không phải người dùng phổ thông thiếu hiểu biết công nghệ mà lại chính là những người có chuyên môn kỹ thuật cao.
Infostealer là gì và vì sao đang trở thành mối đe dọa lớn với doanh nghiệp?
Infostealer là một dạng mã độc chuyên đánh cắp dữ liệu nhạy cảm trên máy tính nạn nhân. Thay vì phá hoại ngay lập tức như ransomware, infostealer hoạt động âm thầm để thu thập mật khẩu, cookie đăng nhập, token xác thực, thông tin VPN, dữ liệu trình duyệt và khóa truy cập dịch vụ đám mây.
Sau khi lấy được dữ liệu, mã độc sẽ gửi thông tin về máy chủ điều khiển của tin tặc. Chỉ vài giờ hoặc vài ngày sau, các dữ liệu này có thể xuất hiện trên chợ đen hoặc diễn đàn ngầm, nơi các nhóm tấn công khác mua lại để tiếp tục xâm nhập hệ thống doanh nghiệp.
Điểm nguy hiểm nằm ở chỗ nhiều nền tảng hiện nay sử dụng cookie phiên làm việc hoặc token đăng nhập để duy trì trạng thái truy cập. Điều này đồng nghĩa tin tặc không nhất thiết phải biết mật khẩu, mà vẫn có thể chiếm quyền truy cập hệ thống nội bộ nếu sở hữu session hợp lệ.
Sau khi lấy được dữ liệu, mã độc sẽ gửi thông tin về máy chủ điều khiển của tin tặc. Chỉ vài giờ hoặc vài ngày sau, các dữ liệu này có thể xuất hiện trên chợ đen hoặc diễn đàn ngầm, nơi các nhóm tấn công khác mua lại để tiếp tục xâm nhập hệ thống doanh nghiệp.
Điểm nguy hiểm nằm ở chỗ nhiều nền tảng hiện nay sử dụng cookie phiên làm việc hoặc token đăng nhập để duy trì trạng thái truy cập. Điều này đồng nghĩa tin tặc không nhất thiết phải biết mật khẩu, mà vẫn có thể chiếm quyền truy cập hệ thống nội bộ nếu sở hữu session hợp lệ.
Người giỏi công nghệ lại đang là nhóm dễ nhiễm mã độc nhất
Một trong những phát hiện gây chú ý nhất của báo cáo là khoảng 82% nạn nhân bị infostealer tấn công là những người có kỹ năng kỹ thuật cao, trong khi 70% thường xuyên sử dụng các công cụ chuyên sâu dành cho lập trình, DevOps hoặc quản trị hệ thống.
Theo các chuyên gia, đây là hệ quả của tâm lý “quá tự tin vào khả năng kỹ thuật”. Nhiều lập trình viên hoặc kỹ sư CNTT có xu hướng bỏ qua cảnh báo bảo mật, tự cấp quyền quản trị cho thiết bị hoặc tải trực tiếp các gói phần mềm từ internet nhằm tiết kiệm thời gian.
Trong môi trường DevOps hiện đại, tốc độ thường được ưu tiên hơn tính an toàn. Báo cáo cho thấy một nạn nhân trung bình cài tới 83 gói phần mềm khác nhau trên thiết bị làm việc. Điều này làm gia tăng đáng kể bề mặt tấn công.
Tin tặc hiện cũng đang tận dụng mạnh xu hướng mã nguồn mở bằng cách cài cắm mã độc vào các package, tiện ích hoặc repository giả mạo. Chỉ cần một công cụ bị nhiễm độc được tải xuống, toàn bộ thiết bị doanh nghiệp có thể bị xâm nhập.
Theo các chuyên gia, đây là hệ quả của tâm lý “quá tự tin vào khả năng kỹ thuật”. Nhiều lập trình viên hoặc kỹ sư CNTT có xu hướng bỏ qua cảnh báo bảo mật, tự cấp quyền quản trị cho thiết bị hoặc tải trực tiếp các gói phần mềm từ internet nhằm tiết kiệm thời gian.
Trong môi trường DevOps hiện đại, tốc độ thường được ưu tiên hơn tính an toàn. Báo cáo cho thấy một nạn nhân trung bình cài tới 83 gói phần mềm khác nhau trên thiết bị làm việc. Điều này làm gia tăng đáng kể bề mặt tấn công.
Tin tặc hiện cũng đang tận dụng mạnh xu hướng mã nguồn mở bằng cách cài cắm mã độc vào các package, tiện ích hoặc repository giả mạo. Chỉ cần một công cụ bị nhiễm độc được tải xuống, toàn bộ thiết bị doanh nghiệp có thể bị xâm nhập.
Mod game, tool crack và phần mềm “miễn phí” đang trở thành bẫy phát tán mã độc
Dù phần mềm doanh nghiệp bị nhiễm độc là mối nguy lớn, các chiến dịch phát tán infostealer hiện vẫn chủ yếu lợi dụng nội dung liên quan đến game. Khoảng 43% ca lây nhiễm được ghi nhận bắt nguồn từ mod game, cheat tool, launcher giả hoặc phần mềm crack. Đáng chú ý, cứ 6 nạn nhân bị nhiễm mã độc qua các “mồi nhử game” thì có một người đang sở hữu quyền truy cập vào hạ tầng doanh nghiệp.
Các chuyên gia cho rằng điều này xuất phát từ hai thực tế phổ biến sau đại dịch và xu hướng làm việc hybrid.
Thứ nhất, nhiều nhân viên sử dụng laptop công ty như thiết bị cá nhân sau giờ làm việc. Việc tải game, phần mềm giải trí hoặc ứng dụng không rõ nguồn gốc có thể khiến chứng chỉ VPN, tài khoản cloud hoặc token doanh nghiệp bị đánh cắp ngay lập tức.
Thứ hai, ngày càng nhiều gia đình sử dụng chung thiết bị làm việc. Sau giờ hành chính, con cái hoặc người thân có thể dùng laptop công ty để chơi game, tải mod hoặc cài ứng dụng miễn phí, vô tình kích hoạt mã độc đánh cắp dữ liệu.
Các chuyên gia cho rằng điều này xuất phát từ hai thực tế phổ biến sau đại dịch và xu hướng làm việc hybrid.
Thứ nhất, nhiều nhân viên sử dụng laptop công ty như thiết bị cá nhân sau giờ làm việc. Việc tải game, phần mềm giải trí hoặc ứng dụng không rõ nguồn gốc có thể khiến chứng chỉ VPN, tài khoản cloud hoặc token doanh nghiệp bị đánh cắp ngay lập tức.
Thứ hai, ngày càng nhiều gia đình sử dụng chung thiết bị làm việc. Sau giờ hành chính, con cái hoặc người thân có thể dùng laptop công ty để chơi game, tải mod hoặc cài ứng dụng miễn phí, vô tình kích hoạt mã độc đánh cắp dữ liệu.
Quá trình tấn công diễn ra như thế nào?
Một cuộc tấn công bằng infostealer thường bắt đầu từ việc nạn nhân tải và chạy một file độc hại được ngụy trang dưới dạng phần mềm hợp pháp.
Ngay sau khi kích hoạt, mã độc sẽ âm thầm quét hệ thống để tìm:
Ngay sau khi kích hoạt, mã độc sẽ âm thầm quét hệ thống để tìm:
- Cookie đăng nhập trình duyệt
- Mật khẩu lưu trên Chrome, Edge hoặc Firefox
- Tài khoản VPN doanh nghiệp
- Token GitHub, AWS, Azure hoặc Google Cloud
- Session SaaS còn hiệu lực
- Ví tiền điện tử hoặc khóa SSH
Dữ liệu sau đó được nén và gửi về máy chủ điều khiển. Trong nhiều trường hợp, người dùng hoàn toàn không nhận thấy bất kỳ dấu hiệu bất thường nào. Sau khi dữ liệu bị bán trên dark web, các nhóm ransomware hoặc tấn công APT có thể sử dụng chính thông tin này để đột nhập sâu hơn vào hệ thống doanh nghiệp.
Hậu quả không còn dừng ở mất tài khoản cá nhân
Các chuyên gia cảnh báo infostealer hiện không còn là vấn đề “máy tính cá nhân bị hack Facebook” như trước đây. Chúng đã trở thành mắt xích quan trọng trong chuỗi tấn công doanh nghiệp hiện đại.
Chỉ một tài khoản VPN hoặc token cloud bị lộ cũng có thể dẫn đến:
Chỉ một tài khoản VPN hoặc token cloud bị lộ cũng có thể dẫn đến:
- Rò rỉ dữ liệu nội bộ
- Mất quyền kiểm soát hạ tầng cloud
- Tấn công ransomware
- Gián đoạn hệ thống vận hành
- Đánh cắp mã nguồn hoặc dữ liệu khách hàng
- Xâm nhập chuỗi cung ứng phần mềm
Trong nhiều vụ việc gần đây, infostealer chính là bước mở đầu trước khi ransomware được triển khai vào hệ thống doanh nghiệp.
Doanh nghiệp cần thay đổi tư duy bảo mật thiết bị làm việc
Giới chuyên gia nhận định nhiều doanh nghiệp hiện vẫn đánh giá thấp nguy cơ từ việc sử dụng thiết bị công ty cho mục đích cá nhân. Trong khi đó, tin tặc đã chuyển hướng mạnh sang khai thác hành vi người dùng thay vì chỉ tập trung vào lỗ hổng kỹ thuật.
Các chuyên gia an ninh mạng khuyến nghị doanh nghiệp cần:
Các chuyên gia an ninh mạng khuyến nghị doanh nghiệp cần:
- Tách biệt hoàn toàn thiết bị làm việc và thiết bị cá nhân
- Áp dụng cơ chế allowlist chỉ cho phép cài phần mềm được phê duyệt
- Hạn chế quyền admin trên máy nhân viên
- Giám sát hành vi tải file và thực thi ứng dụng bất thường
- Tăng cường bảo vệ endpoint bằng EDR/XDR
- Đào tạo nhân viên về nguy cơ từ mod game, tool crack và package không xác thực
- Kiểm tra định kỳ token, cookie và thông tin xác thực bị rò rỉ trên dark web
Ranh giới giữa “máy cá nhân” và “máy công ty” đang biến mất
Báo cáo mới cho thấy infostealer đang thay đổi hoàn toàn cách các cuộc tấn công mạng diễn ra. Một mod game tải về lúc nửa đêm hoàn toàn có thể trở thành nguyên nhân dẫn đến rò rỉ dữ liệu doanh nghiệp hàng triệu USD vào sáng hôm sau.
Trong bối cảnh làm việc từ xa và DevOps phát triển mạnh, thiết bị nhân viên giờ đây không chỉ là công cụ làm việc, mà còn là “cửa ngõ” dẫn thẳng vào hạ tầng doanh nghiệp. Khi người dùng cá nhân và nhân viên công ty ngày càng là cùng một người trên cùng một thiết bị, mọi hành vi tải phần mềm thiếu kiểm soát đều có thể trở thành điểm khởi đầu cho một cuộc tấn công mạng quy mô lớn.
Trong bối cảnh làm việc từ xa và DevOps phát triển mạnh, thiết bị nhân viên giờ đây không chỉ là công cụ làm việc, mà còn là “cửa ngõ” dẫn thẳng vào hạ tầng doanh nghiệp. Khi người dùng cá nhân và nhân viên công ty ngày càng là cùng một người trên cùng một thiết bị, mọi hành vi tải phần mềm thiếu kiểm soát đều có thể trở thành điểm khởi đầu cho một cuộc tấn công mạng quy mô lớn.