Phần mềm đánh cắp thông tin phổ biến nhất tái xuất, nguy hiểm và khó phát hiện hơn
Những kẻ điều hành Lumma Stealer đã nhanh chóng tập hợp lại sau khi bị FBI (Cục Điều tra Liên bang Mỹ) triệt phá vào tháng 5, tiếp tục các hoạt động với thủ đoạn tinh vi hơn.
Lumma Stealer được xem là phần mềm đánh cắp thông tin (infostealer) phổ biến nhất thế giới. Bất kỳ ai từng nghĩ rằng Lumma Stealer đã bị "xóa sổ" sau cuộc truy quét quy mô lớn của FBI vào tháng 5 đều đã nhầm.
Nhóm điều hành Lumma Stealer đã nhanh chóng phục hồi lực lượng, triển khai lại hệ thống phân phối theo nhiều hướng khác nhau, cùng những kỹ thuật ẩn mình tinh vi hơn nhằm tránh bị phát hiện.
Các nhà nghiên cứu an ninh mạng của hãng Trend Micro (Nhật Bản) đã phát hiện sự gia tăng trở lại số lượng tài khoản bị tấn công bằng Lumma Stealer trong giai đoạn từ tháng 6 đến tháng 7, với phương thức phân phối kín đáo hơn và chiến thuật né tránh tinh vi hơn.
Dù hoạt động có giảm nhẹ trong và sau thời điểm cơ quan chức năng vào cuộc vào tháng 5, dữ liệu giám sát mạng từ Trend Micro cho thấy hạ tầng của Lumma Stealer đã bắt đầu phục hồi "chỉ trong vài tuần" sau vụ triệt phá, theo phân tích của chuyên gia Junestherry Dela Cruz. Điều này cho thấy "sự linh hoạt và khả năng thích nghi mạnh mẽ của nhóm điều hành Lumma Stealer trước những gián đoạn do cơ quan chức năng gây ra".
Từ tháng 6 đến tháng 7, số lượng tài khoản bị nhắm mục tiêu đã tăng trở lại mức trước đây, cho thấy “nhóm điều hành Lumma Stealer đã nhanh chóng tái thiết hệ thống và khôi phục hoạt động tấn công như trước đó”.
Trend Micro cũng ghi nhận sự xuất hiện của nhiều chiến dịch mới, cho thấy kênh phát tán của Lumma Stealer vẫn đa dạng như trước.
Lumma Stealer là loại mã độc thương mại chuyên đánh cắp thông tin đăng nhập và ví tiền mã hóa. Trong ba năm hoạt động, nó đã góp mặt trong nhiều loại tội phạm mạng như các cuộc tấn công bằng ransomware (mã độc tống tiền), trộm cắp tiền mã hóa, giả mạo email doanh nghiệp, chiếm đoạt tài khoản, gián điệp mạng…
“Người dùng có thể bị dụ tải Lumma Stealer thông qua các phần mềm bẻ khóa, trang web lừa đảo hoặc bài đăng trên mạng xã hội. Từ góc độ doanh nghiệp, nhân viên thiếu kiến thức an ninh mạng rất dễ trở thành nạn nhân của các cuộc tấn công này”, bài đăng của Trend Micro cảnh báo.
Lumma Stealer xuất hiện từ cuối năm 2022, hoạt động theo mô hình malware-as-a-service (mã độc dưới dạng dịch vụ), tức là được cung cấp dưới dạng dịch vụ cho các tội phạm mạng khác thuê hoặc mua sử dụng mà không cần có kiến thức kỹ thuật sâu rộng.
Lumma Stealer hoạt động như thế nào?
Lumma Stealer được thiết kế để thu thập hàng loạt các dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm, gồm:
Thông tin đăng nhập: Mật khẩu, tên người dùng từ trình duyệt (Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Brave), các ứng dụng quản lý mật khẩu.
Dữ liệu tài chính: Thông tin thẻ tín dụng, thông tin ví tiền điện tử và các dữ liệu liên quan đến tài chính.
Dữ liệu trình duyệt: Lịch sử duyệt web, cookies, extension.
Dữ liệu cá nhân: Các file nhạy cảm trong thư mục người dùng, nhật ký trò chuyện, thông tin ứng dụng đã cài đặt.
Mã thông báo (token): Mã thông báo xác thực hai yếu tố, cho phép kẻ tấn công vượt qua lớp bảo mật này.
Phương thức lây nhiễm chính
Lumma Stealer được phát tán thông qua nhiều kênh và chiến thuật lén lút để né tránh sự phát hiện, bao gồm:
Phần mềm bẻ khóa và trình tạo khóa: Giả mạo các phiên bản miễn phí hoặc công cụ mở khóa cho các ứng dụng phổ biến.
Trang web lừa đảo: Tạo trang web giả mạo các dịch vụ hoặc thương hiệu đáng tin cậy để lừa người dùng tải xuống phần mềm độc hại.
Quảng cáo độc hại: Sử dụng các quảng cáo giả mạo để lừa người dùng cài đặt phần mềm độc hại.
Chiến dịch trên mạng xã hội: Phát tán qua các liên kết độc hại trên YouTube, Facebook hoặc các nền tảng khác.
Tấn công ClickFix: Tiêm JavaScript độc hại vào các trang web bị xâm nhập, hiển thị trang CAPTCHA giả mạo để dụ người dùng thực thi mã độc.
Lạm dụng nền tảng hợp pháp: Sử dụng GitHub để lưu trữ các kho lưu trữ giả mạo chứa phần mềm độc hại, thường quảng bá các công cụ gian lận trong game.
Tác động và rủi ro
Rò rỉ dữ liệu: Đánh cắp thông tin cá nhân, thông tin đăng nhập, dữ liệu tài chính, dẫn đến các vụ vi phạm dữ liệu tốn kém.
Mất mát tài chính: Bị đánh cắp tiền mã hóa hoặc thông tin ngân hàng.
Chiếm đoạt tài khoản: Sử dụng thông tin đánh cắp để truy cập và kiểm soát các tài khoản của nạn nhân.
Gián điệp mạng: Thu thập thông tin tình báo hoặc tài sản trí tuệ.
Tạo cửa hậu: Cho phép kẻ tấn công duy trì quyền truy cập vào hệ thống.
Vô hiệu hóa bảo mật: Vô hiệu hóa phần mềm bảo mật để tránh bị phát hiện.
Thay đổi hạ tầng sau chiến dịch triệt phá
Trước khi bị triệt phá, Lumma Stealer đã hoạt động từ cuối năm 2022 và những kẻ tạo ra nó đã xây dựng một hệ sinh thái đáng kể vào thời điểm đó. Nghiên cứu từ hãng an ninh mạng ESET (Slovakia) sau cuộc trấn áp cho thấy các nhà phát triển Lumma Stealer đã triển khai 74 tên miền mới mỗi tuần để lưu trữ các phần của cơ sở hạ tầng phần mềm độc hại, tổng cộng đến 3.353 tên miền điều khiển trong năm qua.
Sau vụ triệt phá, hạ tầng của Lumma Stealer đã có một số thay đổi. Trước đó, nhóm này tận dụng dịch vụ của Cloudflare để che giấu tên miền độc hại, khiến việc phát hiện và quy trách nhiệm trở nên khó khăn hơn do đây là nền tảng phổ biến và đáng tin cậy.
Cloudflare là hãng công nghệ của Mỹ chuyên cung cấp các dịch vụ mạng phân phối nội dung (CDN), bảo mật website, DNS (hệ thống phân giải tên miền) và tăng tốc hiệu suất web.
Tuy nhiên, sau chiến dịch của cơ quan chức năng, tần suất lạm dụng Cloudflare đã giảm, dù vẫn còn một số tên miền tiếp tục sử dụng dịch vụ này. Chuyên gia Junestherry Dela Cruz của Trend Micro nhận định rằng nhóm điều hành có thể đang “chủ động giảm sự phụ thuộc vào các nền tảng phổ biến, vốn dễ bị giám sát hơn”.
Hoạt động gần đây cho thấy nhóm này chuyển hướng sang nhiều nhà cung cấp hạ tầng khác, đặc biệt là các dịch vụ đám mây và trung tâm dữ liệu có trụ sở tại Nga. Trong đó, Selectel (nhà cung cấp dịch vụ hạ tầng đám mây và trung tâm dữ liệu có trụ sở tại Nga) được nhóm khai thác mạnh trong tháng 6.
Selectel từ lâu đã bị các nhóm tấn công lợi dụng. Các nhà nghiên cứu an ninh mạng cho biết công ty này hiếm khi xử lý hoạt động độc hại trên hạ tầng của mình.
"Sự thay đổi chiến lược này cho thấy một động thái hướng tới các nhà cung cấp ít phản ứng hơn với những yêu cầu của cơ quan thực thi pháp luật, làm phức tạp thêm nỗ lực theo dõi và triệt phá hoạt động của chúng", Dela Cruz lưu ý.
Các chiến dịch phát tán mới
Trend Micro tiếp tục ghi nhận các chiến dịch phân phối Trend Micro đa dạng, gồm cả phương thức quen thuộc và thủ thuật mới:
Sau cuộc trấn áp sử dụng phần mềm bẻ khóa và trình tạo khóa, một trong những chiến dịch phổ biến nhất là phần mềm độc hại giả mạo dưới dạng phiên bản miễn phí của các ứng dụng hợp pháp và công cụ mở khóa giả mạo cho những ứng dụng phổ biến.
Cách thức thứ nhất là một phương pháp phân phối mà các nhà điều hành đã sử dụng ngay trước khi Lumma Stealer bị trấn áp, khi nó xuất hiện trong một phiên bản giả mạo của Shellter Elite phiên bản 11.0.
Shellter Elite là công cụ chuyên dụng dùng trong lĩnh vực kiểm thử xâm nhập và tấn công an ninh mạng. Nó được thiết kế để giúp nhúng mã độc vào các file thực thi Windows một cách tàng hình và khó bị phát hiện bởi phần mềm antivirus hoặc hệ thống phát hiện xâm nhập (EDR).
Ngoài ra, nhóm điều hành Lumma Stealer cũng tái sử dụng kỹ thuật ClickFix.
ClickFix lần đầu bị phát hiện như một phương thức tấn công vào năm ngoái, khi các nhà nghiên cứu của hãng an mạng Proofpoint (Mỹ) quan sát thấy các trang web bị xâm nhập hiển thị thông báo lỗi giả dạng đè lên giao diện, nhằm đánh lừa người truy cập tải xuống bản cập nhật trình duyệt giả mạo, thực chất chứa nhiều loại mã độc khác nhau.
Trong các chiến dịch Lumma mới nhất tận dụng ClickFix, những kẻ tấn công chèn mã JavaScript độc hại vào nhiều trang web bị xâm nhập, khiến chúng hiển thị một trang CAPTCHA giả mạo mà cuối cùng tạo điều kiện thuận lợi cho việc phân phối Lumma Stealer.
Trend Micro đã quan sát thấy sự trở lại của một chiến dịch tương tự từ tháng 3, trong đó các tác nhân đe dọa tự động tạo tài khoản người dùng và kho lưu trữ GitHub, sau đó thêm vào các file ReadMe do trí tuệ nhân tạo (AI) tạo ra.
ReadMe là file văn bản đi kèm trong một thư mục mã nguồn hoặc phần mềm, dùng để giải thích thông tin quan trọng về dự án đó.
"Các kho lưu trữ này thường quảng bá bản tải xuống cho công cụ gian lận và khai thác lỗi liên quan đến game, nhằm dụ người dùng vô tình cài đặt phần mềm độc hại", Dela Cruz viết.
Mã độc này cũng tiếp tục được phát tán qua các chiến dịch mạng xã hội trên YouTube và Facebook, với các bản bẻ khóa phần mềm ẩn mã độc trên YouTube và quảng cáo giả mạo cho các trang web lưu trữ phần mềm độc hại trên Facebook.
Cảnh giác liên tục
Việc Lumma Stealer trở lại nhanh chóng cho thấy tính dai dẳng của các chiến dịch tội phạm mạng hiện đại, vốn có thể tái cấu trúc nhanh chóng sau những đợt triệt phá lớn, theo Dela Cruz.
Lumma Stealer tồn tại theo hình thức mã độc dưới dạng dịch vụ cũng đồng nghĩa với việc "những người có ít hoặc không có kiến thức chuyên môn" cũng có thể thực hiện các cuộc tấn công, mở rộng đáng kể phạm vi tiếp cận và lây lan của phần mềm độc hại, theo bài đăng của Trend Micro.
Do đó, các tổ chức cần chủ động trong công tác tình báo mối đe dọa, tăng cường hợp tác giữa ngành an ninh mạng và cơ quan thực thi pháp luật để theo dõi các biến thể của Lumma Stealer.
Ngoài ra, họ cũng nên đào tạo nhân viên cách phát hiện mối đe dọa từ các chiến dịch Lumma Stealer đang hoạt động và đã biết đến, như phần mềm độc hại ngụy trang, trang web giả mạo và nội dung đánh lừa trên mạng xã hội, để ngăn việc vô tình đưa phần mềm độc hại vào hệ thống doanh nghiệp, Trend Micro cho biết.
“Một hệ thống phòng thủ chủ động, kết hợp với các công cụ an ninh mạng hiện đại, sẽ giúp tổ chức bảo vệ tốt hơn trước các mối đe dọa như Lumma Stealer”, Dela Cruz kết luận.