MinhSec
Writer
Một biến thể mới của phần mềm độc hại Gremlin Stealer đang khiến giới an ninh mạng lo ngại vì khả năng che giấu cực kỳ tinh vi, cho phép nó âm thầm đánh cắp dữ liệu mà không dễ bị phát hiện bởi các công cụ quét truyền thống.
Theo các nhà nghiên cứu của Unit 42 thuộc Palo Alto Networks, phiên bản Gremlin mới không còn lưu địa chỉ máy chủ điều khiển (C2) dưới dạng văn bản dễ đọc như trước. Thay vào đó, toàn bộ thông tin quan trọng đã được giấu trong các phần tài nguyên .NET được mã hóa bằng kỹ thuật XOR, khiến quá trình phân tích trở nên khó khăn hơn đáng kể.
Gremlin Stealer ban đầu xuất hiện trên các diễn đàn ngầm như một công cụ đánh cắp thông tin “dùng sẵn”, chuyên nhắm vào trình duyệt web, cookie đăng nhập, dữ liệu ví tiền điện tử và thông tin FTP hoặc VPN. Sau khi thu thập dữ liệu, phần mềm độc hại sẽ nén chúng thành tệp ZIP và âm thầm gửi về máy chủ của kẻ tấn công.
Biến thể mới còn mở rộng mục tiêu sang cả tài khoản Discord. Nó có khả năng đánh cắp token đăng nhập để chiếm quyền truy cập tài khoản của nạn nhân. Nguy hiểm hơn, malware này còn được tích hợp tính năng “clipboard hijacking” tự động thay thế địa chỉ ví tiền điện tử mà người dùng sao chép bằng ví của hacker nhằm chuyển hướng dòng tiền mà nạn nhân không hề hay biết.
Điểm đáng sợ nằm ở việc Gremlin giờ đây hoạt động theo mô hình tải từng giai đoạn. Mỗi chức năng chỉ được giải mã khi cần thiết và chạy trực tiếp trong bộ nhớ, khiến nhiều công cụ phân tích tĩnh gần như không thấy được hành vi thật sự của mã độc.
Ngoài ra, phần mềm còn áp dụng nhiều lớp che giấu khác nhau để gây khó khăn cho quá trình đảo ngược mã nguồn. Tên lớp, biến và phương thức đều bị đổi thành các ký tự vô nghĩa như “a”, “bb” hay “hf”. Các chuỗi văn bản quan trọng như địa chỉ máy chủ hoặc từ khóa liên quan đến ví crypto cũng được mã hóa hoàn toàn.
Không dừng lại ở đó, mã nguồn còn bị làm rối bằng hàng loạt nhánh giả và vòng lặp vô nghĩa nhằm khiến các công cụ dịch ngược hiển thị một đoạn mã cực kỳ phức tạp dù logic thực tế không quá lớn.
Theo Unit 42, biến thể mới của Gremlin đang sử dụng máy chủ điều khiển tại địa chỉ 194.87.92.109. Tại thời điểm phát hiện, nhiều nền tảng bảo mật vẫn chưa gắn cờ đây là hạ tầng độc hại, cho thấy malware này có khả năng né tránh phát hiện khá hiệu quả.
Các chuyên gia cảnh báo rằng những công cụ bảo mật chỉ dựa vào chữ ký truyền thống có thể không đủ để phát hiện các biến thể Gremlin mới. Thay vào đó, doanh nghiệp và người dùng cần ưu tiên các giải pháp phát hiện hành vi bất thường để nhận diện hoạt động đáng ngờ trong hệ thống.
Giới nghiên cứu cũng nhận định Gremlin đang cho thấy xu hướng tiến hóa nhanh tương tự nhiều họ malware nổi tiếng như Agent Tesla, LokiBot hay Quasar RAT, vốn nổi tiếng nhờ khả năng ẩn payload và vượt qua các công cụ phân tích thông thường.
Theo các nhà nghiên cứu của Unit 42 thuộc Palo Alto Networks, phiên bản Gremlin mới không còn lưu địa chỉ máy chủ điều khiển (C2) dưới dạng văn bản dễ đọc như trước. Thay vào đó, toàn bộ thông tin quan trọng đã được giấu trong các phần tài nguyên .NET được mã hóa bằng kỹ thuật XOR, khiến quá trình phân tích trở nên khó khăn hơn đáng kể.
Gremlin Stealer ban đầu xuất hiện trên các diễn đàn ngầm như một công cụ đánh cắp thông tin “dùng sẵn”, chuyên nhắm vào trình duyệt web, cookie đăng nhập, dữ liệu ví tiền điện tử và thông tin FTP hoặc VPN. Sau khi thu thập dữ liệu, phần mềm độc hại sẽ nén chúng thành tệp ZIP và âm thầm gửi về máy chủ của kẻ tấn công.
Biến thể mới còn mở rộng mục tiêu sang cả tài khoản Discord. Nó có khả năng đánh cắp token đăng nhập để chiếm quyền truy cập tài khoản của nạn nhân. Nguy hiểm hơn, malware này còn được tích hợp tính năng “clipboard hijacking” tự động thay thế địa chỉ ví tiền điện tử mà người dùng sao chép bằng ví của hacker nhằm chuyển hướng dòng tiền mà nạn nhân không hề hay biết.
Điểm đáng sợ nằm ở việc Gremlin giờ đây hoạt động theo mô hình tải từng giai đoạn. Mỗi chức năng chỉ được giải mã khi cần thiết và chạy trực tiếp trong bộ nhớ, khiến nhiều công cụ phân tích tĩnh gần như không thấy được hành vi thật sự của mã độc.
Ngoài ra, phần mềm còn áp dụng nhiều lớp che giấu khác nhau để gây khó khăn cho quá trình đảo ngược mã nguồn. Tên lớp, biến và phương thức đều bị đổi thành các ký tự vô nghĩa như “a”, “bb” hay “hf”. Các chuỗi văn bản quan trọng như địa chỉ máy chủ hoặc từ khóa liên quan đến ví crypto cũng được mã hóa hoàn toàn.
Không dừng lại ở đó, mã nguồn còn bị làm rối bằng hàng loạt nhánh giả và vòng lặp vô nghĩa nhằm khiến các công cụ dịch ngược hiển thị một đoạn mã cực kỳ phức tạp dù logic thực tế không quá lớn.
Theo Unit 42, biến thể mới của Gremlin đang sử dụng máy chủ điều khiển tại địa chỉ 194.87.92.109. Tại thời điểm phát hiện, nhiều nền tảng bảo mật vẫn chưa gắn cờ đây là hạ tầng độc hại, cho thấy malware này có khả năng né tránh phát hiện khá hiệu quả.
Các chuyên gia cảnh báo rằng những công cụ bảo mật chỉ dựa vào chữ ký truyền thống có thể không đủ để phát hiện các biến thể Gremlin mới. Thay vào đó, doanh nghiệp và người dùng cần ưu tiên các giải pháp phát hiện hành vi bất thường để nhận diện hoạt động đáng ngờ trong hệ thống.
Giới nghiên cứu cũng nhận định Gremlin đang cho thấy xu hướng tiến hóa nhanh tương tự nhiều họ malware nổi tiếng như Agent Tesla, LokiBot hay Quasar RAT, vốn nổi tiếng nhờ khả năng ẩn payload và vượt qua các công cụ phân tích thông thường.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
