-
09/04/2020
-
109
-
984 bài viết
Mã độc ACRStealer giả Google và Steam để che giấu hành vi đánh cắp dữ liệu
Trung tâm Tình báo An ninh của AhnLab (ASEC) vừa phát đi cảnh báo về sự trở lại của một trong những mã độc đánh cắp thông tin (infostealer) nguy hiểm - ACRStealer, nay đã “tiến hóa” và đổi tên thành AmateraStealer.
Từng xuất hiện từ đầu năm, ACRStealer nay đã được nâng cấp toàn diện với khả năng ẩn mình, vượt qua giám sát, giao tiếp khó truy vết và đánh cắp dữ liệu nhạy cảm. Đây là một mối đe dọa nghiêm trọng, đặc biệt với người dùng cá nhân và doanh nghiệp nhỏ, những đối tượng thường ít có hệ thống phòng thủ chuyên sâu.
ACRStealer là phần mềm đánh cắp thông tin tinh vi, sử dụng kỹ thuật DDR, Google Docs và Steam để điều khiển từ xa (C2). Nó sở hữu khả năng trốn tránh phát hiện, kiểm soát lưu lượng HTTP bằng các kỹ thuật thấp cấp như NtCreateFile, cùng với hoạt động làm giả tên miền và IP để gây nhiễu hệ thống giám sát mạng. Các phiên bản mới sử dụng mã hóa AES-256, các đường truyền động và ngẫu nhiên để tăng khả năng che giấu. Cơ chế phát tán gồm đánh cắp dữ liệu ví tiền điện tử, thông tin đăng nhập, tài liệu nhạy cảm và khả năng mở rộng tấn công qua các payload phụ. Gần đây, biến thể ACRStealer đã được đổi tên thành AmateraStealer, vẫn giữ đặc điểm là một trong những dòng phần mềm đánh cắp thông tin hoạt động mạnh và thích ứng nhanh.
Cách ACRStealer hoạt động: Khi bạn chưa kịp nhận ra, mọi thứ đã bị lấy cắp
1. Ẩn thân tinh vi với Heaven’s Gate
Phiên bản mới sử dụng kỹ thuật có tên Heaven’s Gate, cho phép mã độc chạy shellcode 64-bit trong tiến trình 32-bit trên Windows. Điều này khiến phần mềm giám sát thông thường rất khó phát hiện, vì hoạt động độc hại bị che giấu hoàn toàn
2. Không dùng thư viện bình thường mà dùng tận lõi hệ điều hành
Khác với nhiều mã độc dùng WinHTTP hay Winsock để kết nối với máy chủ điều khiển (C2), ACRStealer giao tiếp trực tiếp qua driver hệ thống (AFD) bằng các lệnh cấp thấp như NtCreateFile và NtDeviceIoControlFile. Cách này giúp qua mặt tường lửa, hệ thống giám sát mạng hoặc các phần mềm chống mã độc dựa vào API giám sát.
3. Ngụy trang địa chỉ thật bằng “tên miền đáng tin”
Để đánh lạc hướng người kiểm tra, mã độc giả vờ liên lạc với các trang web uy tín như microsoft.com, google.com, facebook.com… Nhưng thực tế lại kết nối đến những địa chỉ IP độc hại khác. Hệ thống giám sát nhìn vào thấy toàn “địa chỉ sạch” nên dễ bị qua mặt.
ACRStealer đánh cắp những gì?
Phiên bản mới sử dụng kỹ thuật có tên Heaven’s Gate, cho phép mã độc chạy shellcode 64-bit trong tiến trình 32-bit trên Windows. Điều này khiến phần mềm giám sát thông thường rất khó phát hiện, vì hoạt động độc hại bị che giấu hoàn toàn
2. Không dùng thư viện bình thường mà dùng tận lõi hệ điều hành
Khác với nhiều mã độc dùng WinHTTP hay Winsock để kết nối với máy chủ điều khiển (C2), ACRStealer giao tiếp trực tiếp qua driver hệ thống (AFD) bằng các lệnh cấp thấp như NtCreateFile và NtDeviceIoControlFile. Cách này giúp qua mặt tường lửa, hệ thống giám sát mạng hoặc các phần mềm chống mã độc dựa vào API giám sát.
3. Ngụy trang địa chỉ thật bằng “tên miền đáng tin”
Để đánh lạc hướng người kiểm tra, mã độc giả vờ liên lạc với các trang web uy tín như microsoft.com, google.com, facebook.com… Nhưng thực tế lại kết nối đến những địa chỉ IP độc hại khác. Hệ thống giám sát nhìn vào thấy toàn “địa chỉ sạch” nên dễ bị qua mặt.
ACRStealer đánh cắp những gì?
- Tài khoản đăng nhập trình duyệt (Chrome, Edge, Firefox…)
- Ví tiền điện tử
- Tài khoản cloud (Google Drive, Dropbox)
- Email, FTP, tài liệu nội bộ
- Cài thêm phần mềm độc hại khác để kiểm soát lâu dài
Phiên bản mới còn mã hóa toàn bộ dữ liệu gửi về C2 bằng chuẩn AES-256, với khóa mã hóa và chuỗi khởi tạo (IV) được nhúng sẵn trong file mã độc. Mỗi nạn nhân sẽ được cấp một đường truyền riêng (endpoint riêng) nên càng khó phát hiện bằng phương pháp truyền thống.
Với khả năng lẩn trốn, tùy biến và đánh cắp thông tin rộng khắp, AmateraStealer hiện là một trong những infostealer nguy hiểm và khó phát hiện nhất trên thế giới. Nó đang được phát tán chủ yếu qua:
Với khả năng lẩn trốn, tùy biến và đánh cắp thông tin rộng khắp, AmateraStealer hiện là một trong những infostealer nguy hiểm và khó phát hiện nhất trên thế giới. Nó đang được phát tán chủ yếu qua:
- Tệp đính kèm email giả mạo
- Phần mềm crack, game lậu
- Link giả quảng cáo độc hại
Báo cáo từ ProofPoint xác nhận AmateraStealer đang nằm trong top mã độc đánh cắp thông tin được phát tán mạnh nhất hiện nay.
Người dùng cần làm gì để tự bảo vệ mình?
- Không tải phần mềm crack/keygen từ các nguồn không rõ ràng, đây là kênh phát tán malware phổ biến nhất
- Không tải file từ các link trực tiếp của Steam CDN (ví dụ: cdn.cloudflare.steamstatic.com, steamusercontent-a.akamaihd.net) nếu không rõ nguồn gốc.
- Không mở file từ email lạ dù trông như từ cơ quan nhà nước, ngân hàng hay bạn bè
- Cài đặt phần mềm chính hãng và cập nhật thường xuyên để vá lỗ hổng bảo mật.
- Sử dụng phần mềm chống virus có tính năng theo dõi hành vi (behavior monitoring)
- Giám sát hành vi truy cập bất thường đến các nền tảng như Google Docs, Steam, telegra.ph, nhất là từ các máy không có nhu cầu sử dụng.
- Theo dõi lưu lượng mạng bất thường, đặc biệt với các ứng dụng kết nối liên tục
- Cấu hình firewall/proxy chặn hoặc hạn chế quyền truy cập Steam CDN với các endpoint không phục vụ mục đích chơi game.
Sự trở lại và nâng cấp toàn diện của ACRStealer (AmateraStealer) cho thấy hacker ngày càng tinh vi và kiên trì. Không cần kỹ xảo giật gân, chỉ cần bạn sơ hở vài thao tác đơn giản như click nhầm, cài nhầm là bạn có thể đã “dâng” toàn bộ dữ liệu cá nhân cho kẻ xấu.
WhiteHat
Chỉnh sửa lần cuối: