Cảnh báo dòng mã độc đánh cắp thông tin - Vietnamese Stealer

Đây là thủ đoạn tinh vi của tội phạm mạng nhằm chiếm đoạt tài khoản ngân hàng, ví điện tử và dữ liệu cá nhân của người dân cũng như các tổ chức trên địa bàn tỉnh.

Giai đoạn triển khai Dropper/Loader ban đầu.

Theo ghi nhận từ công tác giám sát an ninh mạng, Vietnamese Stealer là dòng mã độc được phát triển trên ngôn ngữ Python, hoạt động với mục tiêu chính là trộm cắp thông tin thay vì phá hoại hệ thống. Điểm nguy hiểm của loại mã độc này nằm ở việc lạm dụng nền tảng nhắn tin phổ biến Telegram làm kênh điều khiển và thu thập dữ liệu (C&C). Việc sử dụng hạ tầng của một ứng dụng hợp pháp giúp kẻ tấn công dễ dàng vượt qua các hàng rào bảo vệ truyền thống, ẩn danh hoàn toàn và có thể thay đổi địa chỉ nhận dữ liệu đánh cắp một cách linh hoạt mà không cần can thiệp lại vào mã nguồn đã lây nhiễm.

Quy trình tấn công của Vietnamese Stealer thường bắt đầu bằng các email lừa đảo đánh vào tâm lý người dùng. Tội phạm mạng gửi các tệp tin nén giả danh hóa đơn thuế VAT, chứng từ kế toán bằng tiếng Việt hoặc tiếng Hàn để dụ dỗ nạn nhân tải về.

Khi tệp tin được mở, mã độc sử dụng kỹ thuật "DLL Side-loading" để âm thầm thực thi các tiến trình độc hại trong khi vẫn hiển thị một tài liệu PDF giả để tạo lòng tin. Ngay sau khi xâm nhập thành công, mã độc sẽ tự động thiết lập một tác vụ ẩn trên hệ thống mang tên "MicrosoftEdgeUpdateTaskMachine". Thủ đoạn này giúp mã độc duy trì sự hiện diện vĩnh viễn trên máy tính, tự động kích hoạt mỗi khi người dùng khởi động thiết bị hoặc đăng nhập vào hệ thống.

Sơ bộ quy trình tấn công của Vietnamese Stealer

Ở giai đoạn cuối cùng, Vietnamese Stealer sẽ quét sạch các dữ liệu nhạy cảm bao gồm: Thông tin đăng nhập lưu trên trình duyệt, cookie phiên làm việc để vượt mã xác thực hai lớp (2FA), đặc biệt là các thông tin liên quan đến ví tiền điện tử. Toàn bộ dữ liệu này sau đó được đóng gói và gửi thẳng về máy chủ của kẻ tấn công thông qua tài khoản Bot Telegram. Điều này gây ra rủi ro cực lớn về việc mất kiểm soát tài khoản email doanh nghiệp, rò rỉ bí mật kinh doanh và trực tiếp dẫn đến các vụ gian lận tài chính quy mô lớn.

Trước diễn biến phức tạp của tội phạm sử dụng công nghệ cao, Công an tỉnh Thái Nguyên khuyến cáo người dân và các cơ quan, đơn vị cần nâng cao tinh thần cảnh giác. Tuyệt đối không mở các tệp đính kèm từ email lạ hoặc không rõ nguồn gốc, đặc biệt là các tệp nén có tên gọi liên quan đến hóa đơn, chứng từ.

Các doanh nghiệp cần chủ động cập nhật bản vá hệ điều hành, triển khai các giải pháp giám sát hành vi hệ thống (EDR/XDR) và thường xuyên kiểm tra các lưu lượng truy cập bất thường hướng tới các API của Telegram. Việc xây dựng một quy trình sao lưu dữ liệu nghiêm ngặt và đào tạo kỹ năng an toàn thông tin cho nhân viên là lớp lá chắn quan trọng nhất để bảo vệ tài sản số trước làn sóng tấn công của mã độc Vietnamese Stealer.

Dũng Minh