MinhSec
Writer
Các nhà nghiên cứu an ninh mạng tại Point Wild vừa phát hiện một chiến dịch phần mềm độc hại Windows cực kỳ tinh vi, sử dụng hai công cụ nguy hiểm là Pulsar RAT và Stealerv37. Không chỉ âm thầm đánh cắp dữ liệu, malware này còn cho phép tin tặc trò chuyện trực tiếp với nạn nhân qua cửa sổ chat, biến cuộc tấn công thành một “cuộc xâm nhập sống” đúng nghĩa.
Theo nhóm Lat61 Threat Intelligence của Point Wild, đây không phải là một loại virus thông thường mà là một vụ đột nhập kỹ thuật số có tổ chức, được thiết kế để ẩn mình hoàn toàn trong bộ nhớ hệ thống, qua mặt hầu hết các phần mềm diệt virus truyền thống.
Do không để lại dấu vết rõ ràng trên ổ cứng, phần mềm độc hại này gần như vô hình với các giải pháp bảo mật cơ bản. Nhóm nghiên cứu còn phát hiện tin tặc sử dụng công cụ Donut để tiêm mã độc vào các tiến trình quen thuộc như explorer.exe, khiến người dùng rất khó nghi ngờ.
Đáng lo ngại hơn, malware có cơ chế tự khởi động lại nếu bị chặn, đồng thời có thể vô hiệu hóa Task Manager và các cảnh báo UAC, ngăn người dùng can thiệp hay phát hiện hành vi bất thường.
Stealerv37 đặc biệt nguy hiểm vì nhắm thẳng vào tiền điện tử. Nó quét các ví crypto, theo dõi clipboard để thay thế địa chỉ ví khi bạn sao chép, khiến tiền bị chuyển thẳng sang ví của tin tặc mà nạn nhân không hề hay biết.
Ngoài ra, malware còn đánh cắp mật khẩu và cookie trình duyệt từ Chrome, Edge; dữ liệu từ VPN như NordVPN; công cụ lập trình; và cả tài khoản game như Steam, Roblox. Toàn bộ dữ liệu bị nén và gửi về cho tin tặc thông qua Discord và Telegram, cho thấy đây là một chiến dịch có tổ chức và hạ tầng bài bản.
Theo Tiến sĩ Zulfikar Ramzan, trưởng nhóm Lat61, điều đáng sợ nhất là nhóm nghiên cứu đã chứng kiến cảnh tin tặc trò chuyện trực tiếp với nạn nhân, trong khi âm thầm cài thêm phần mềm độc hại khác ở chế độ nền. Điều này cho thấy tội phạm mạng hiện đại không còn là “mã độc chạy ngầm”, mà là một hoạt động tương tác, linh hoạt và rất nguy hiểm.
Để giảm rủi ro, các chuyên gia khuyến cáo người dùng nên thường xuyên kiểm tra ứng dụng khởi động cùng Windows, cảnh giác nếu máy tính không còn hiển thị cảnh báo cấp quyền, và luôn bật xác thực hai yếu tố (2FA) cho các tài khoản quan trọng.
Theo nhóm Lat61 Threat Intelligence của Point Wild, đây không phải là một loại virus thông thường mà là một vụ đột nhập kỹ thuật số có tổ chức, được thiết kế để ẩn mình hoàn toàn trong bộ nhớ hệ thống, qua mặt hầu hết các phần mềm diệt virus truyền thống.
“Bóng ma” sống trong bộ nhớ máy tính
Cuộc tấn công bắt đầu từ một tập tin batch nhỏ có tên 0a1a98b5f9fc7c62.bat, được giấu kỹ trong thư mục hệ thống, cụ thể là %APPDATA%\Microsoft. Sau khi xâm nhập, malware không cài đặt file độc hại theo cách thông thường mà áp dụng kỹ thuật “living off the land” lợi dụng chính các công cụ hợp pháp của Windows như PowerShell để chạy mã độc trực tiếp trong bộ nhớ.
Do không để lại dấu vết rõ ràng trên ổ cứng, phần mềm độc hại này gần như vô hình với các giải pháp bảo mật cơ bản. Nhóm nghiên cứu còn phát hiện tin tặc sử dụng công cụ Donut để tiêm mã độc vào các tiến trình quen thuộc như explorer.exe, khiến người dùng rất khó nghi ngờ.
Đáng lo ngại hơn, malware có cơ chế tự khởi động lại nếu bị chặn, đồng thời có thể vô hiệu hóa Task Manager và các cảnh báo UAC, ngăn người dùng can thiệp hay phát hiện hành vi bất thường.
Mục tiêu: tiền, mật khẩu và cả đời sống số
Mục tiêu của chiến dịch này rất rõ ràng: đánh cắp mọi thứ có giá trị. Tin tặc kết hợp Pulsar RAT cho phép điều khiển máy tính từ xa, nghe lén micro, theo dõi webcam với Stealerv37, một công cụ chuyên thu thập dữ liệu cá nhân ở quy mô lớn.Stealerv37 đặc biệt nguy hiểm vì nhắm thẳng vào tiền điện tử. Nó quét các ví crypto, theo dõi clipboard để thay thế địa chỉ ví khi bạn sao chép, khiến tiền bị chuyển thẳng sang ví của tin tặc mà nạn nhân không hề hay biết.
Ngoài ra, malware còn đánh cắp mật khẩu và cookie trình duyệt từ Chrome, Edge; dữ liệu từ VPN như NordVPN; công cụ lập trình; và cả tài khoản game như Steam, Roblox. Toàn bộ dữ liệu bị nén và gửi về cho tin tặc thông qua Discord và Telegram, cho thấy đây là một chiến dịch có tổ chức và hạ tầng bài bản.
Theo Tiến sĩ Zulfikar Ramzan, trưởng nhóm Lat61, điều đáng sợ nhất là nhóm nghiên cứu đã chứng kiến cảnh tin tặc trò chuyện trực tiếp với nạn nhân, trong khi âm thầm cài thêm phần mềm độc hại khác ở chế độ nền. Điều này cho thấy tội phạm mạng hiện đại không còn là “mã độc chạy ngầm”, mà là một hoạt động tương tác, linh hoạt và rất nguy hiểm.
Để giảm rủi ro, các chuyên gia khuyến cáo người dùng nên thường xuyên kiểm tra ứng dụng khởi động cùng Windows, cảnh giác nếu máy tính không còn hiển thị cảnh báo cấp quyền, và luôn bật xác thực hai yếu tố (2FA) cho các tài khoản quan trọng.
Nguồn: hackread
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
