-
09/04/2020
-
110
-
1.006 bài viết
Thế giới chao đảo vì mã độc PXA Stealer, nghi vấn liên quan tin tặc Việt?
Các chuyên gia an ninh mạng quốc tế đang gióng lên hồi chuông cảnh báo về một chiến dịch phát tán mã độc mới với quy mô toàn cầu. Mã độc mang tên PXA Stealer được lập trình bằng ngôn ngữ Python đang bị khai thác để đánh cắp thông tin nhạy cảm của người dùng như mật khẩu, dữ liệu thẻ tín dụng và cookie trình duyệt. Đáng chú ý, nhiều dấu hiệu kỹ thuật ban đầu cho thấy nhóm đứng sau có thể là các đối tượng sử dụng tiếng Việt, tuy nhiên mối liên hệ này vẫn đang được điều tra làm rõ.
Theo báo cáo chung từ hai công ty an ninh mạng Beazley Security và SentinelOne, các chiến dịch sử dụng mã độc PXA Stealer đã xâm nhập hơn 4.000 địa chỉ IP tại 62 quốc gia, bao gồm Mỹ, Hàn Quốc, Hà Lan, Hungary và Áo. Tổng cộng, tin tặc đã đánh cắp hơn 200.000 mật khẩu, hàng trăm thông tin thẻ tín dụng và hơn 4 triệu cookie trình duyệt.
PXA Stealer không chỉ là một mã độc thông thường mà còn được đánh giá là có khả năng ẩn mình rất tinh vi, sử dụng các kỹ thuật chống phân tích và ngụy trang bằng tài liệu giả (như cảnh báo vi phạm bản quyền) để đánh lừa người dùng. Mã độc này còn có thể lấy dữ liệu từ:
PXA Stealer được phát hiện lần đầu vào tháng 11/2024 khi nó nhắm mục tiêu vào các tổ chức chính phủ và giáo dục tại châu Âu và châu Á. Đến nay, chiến dịch phát tán mã độc này đã phát triển cả về chiến thuật lẫn mức độ tổ chức. Tin tặc sử dụng kỹ thuật DLL side-loading, tức là chạy mã độc thông qua các tệp thư viện hợp pháp bị chỉnh sửa để tránh bị phát hiện.
Các kênh Telegram được sử dụng trong chiến dịch hoạt động như một "trạm trung chuyển", nơi dữ liệu bị lấy cắp được lưu trữ và thông báo cập nhật cho kẻ tấn công. Những kẻ đứng sau mã độc này có dấu hiệu hoạt động có tổ chức, tận dụng Telegram như một “chợ đen” để trao đổi thông tin nạn nhân.
PXA Stealer là minh chứng cho việc mã độc ngày càng trở nên tinh vi, chuyên nghiệp và có tổ chức. Đặc biệt, với sự nghi vấn liên quan đến các nhóm tin tặc nói tiếng Việt, chiến dịch này cho thấy tội phạm mạng trong nước đang dần tham gia vào những hoạt động quy mô toàn cầu. Người dùng cá nhân và doanh nghiệp tại Việt Nam nên nâng cao cảnh giác, cập nhật phần mềm diệt virus, không mở các tệp đính kèm đáng ngờ và sử dụng xác thực hai lớp (2FA) để bảo vệ tài khoản của mình.
Từ góc nhìn của chuyên gia nghiên cứu mã độc tại Bkav, tuy đây không phải là kỹ thuật mới nhưng chuyên gia an ninh hệ thống cần lưu ý:
Theo báo cáo chung từ hai công ty an ninh mạng Beazley Security và SentinelOne, các chiến dịch sử dụng mã độc PXA Stealer đã xâm nhập hơn 4.000 địa chỉ IP tại 62 quốc gia, bao gồm Mỹ, Hàn Quốc, Hà Lan, Hungary và Áo. Tổng cộng, tin tặc đã đánh cắp hơn 200.000 mật khẩu, hàng trăm thông tin thẻ tín dụng và hơn 4 triệu cookie trình duyệt.
PXA Stealer không chỉ là một mã độc thông thường mà còn được đánh giá là có khả năng ẩn mình rất tinh vi, sử dụng các kỹ thuật chống phân tích và ngụy trang bằng tài liệu giả (như cảnh báo vi phạm bản quyền) để đánh lừa người dùng. Mã độc này còn có thể lấy dữ liệu từ:
- Trình duyệt web (bao gồm mật khẩu, dữ liệu tự điền, cookie)
- Ví tiền điện tử
- Ứng dụng VPN
- Các công cụ quản lý đám mây dòng lệnh (CLI)
- Các tệp chia sẻ trong mạng nội bộ
- Ứng dụng như Discord
PXA Stealer được phát hiện lần đầu vào tháng 11/2024 khi nó nhắm mục tiêu vào các tổ chức chính phủ và giáo dục tại châu Âu và châu Á. Đến nay, chiến dịch phát tán mã độc này đã phát triển cả về chiến thuật lẫn mức độ tổ chức. Tin tặc sử dụng kỹ thuật DLL side-loading, tức là chạy mã độc thông qua các tệp thư viện hợp pháp bị chỉnh sửa để tránh bị phát hiện.
Các kênh Telegram được sử dụng trong chiến dịch hoạt động như một "trạm trung chuyển", nơi dữ liệu bị lấy cắp được lưu trữ và thông báo cập nhật cho kẻ tấn công. Những kẻ đứng sau mã độc này có dấu hiệu hoạt động có tổ chức, tận dụng Telegram như một “chợ đen” để trao đổi thông tin nạn nhân.
PXA Stealer là minh chứng cho việc mã độc ngày càng trở nên tinh vi, chuyên nghiệp và có tổ chức. Đặc biệt, với sự nghi vấn liên quan đến các nhóm tin tặc nói tiếng Việt, chiến dịch này cho thấy tội phạm mạng trong nước đang dần tham gia vào những hoạt động quy mô toàn cầu. Người dùng cá nhân và doanh nghiệp tại Việt Nam nên nâng cao cảnh giác, cập nhật phần mềm diệt virus, không mở các tệp đính kèm đáng ngờ và sử dụng xác thực hai lớp (2FA) để bảo vệ tài khoản của mình.
Từ góc nhìn của chuyên gia nghiên cứu mã độc tại Bkav, tuy đây không phải là kỹ thuật mới nhưng chuyên gia an ninh hệ thống cần lưu ý:
- Tăng cường giám sát các hành vi bất thường trong hệ thống, đặc biệt chú ý đến:
- Kết nối đến nền tảng Telegram (thường bị lạm dụng làm kênh điều khiển C2).
- Hành vi DLL sideloading - kỹ thuật thường được sử dụng để tải mã độc mà không bị phát hiện.
- Tổ chức huấn luyện người dùng nhằm nâng cao nhận thức về an toàn thông tin, tập trung vào:
- Nhận diện và cảnh giác với email đính kèm tệp ZIP hoặc script độc hại.
- Thực hành xử lý các tình huống nghi ngờ lừa đảo/phát tán mã độc qua email.
- Cập nhật IOC (Indicators of Compromise) và quy tắc phát hiện (detection rules) trên các hệ thống giám sát như SIEM và EDR để đảm bảo khả năng phát hiện sớm các mối đe dọa.
- Thực hiện diễn tập kỹ thuật mô phỏng chuỗi tấn công thực tế nhằm kiểm tra và nâng cao năng lực phản ứng sự cố của đội ngũ kỹ thuật.
Theo The Hacker News, WhiteHat
Chỉnh sửa lần cuối: