-
09/04/2020
-
139
-
1.878 bài viết
OpenClaw giả mạo phát tán mã độc đánh cắp ví tiền điện tử và trình quản lý mật khẩu
Một chiến dịch mới đang thu hút sự chú ý của giới an ninh mạng khi lợi dụng sức hút của các công cụ AI mã nguồn mở để phát tán infostealer. Tin tặc giả mạo trình cài đặt OpenClaw nhằm đánh cắp dữ liệu từ hơn 250 tiện ích mở rộng trình duyệt, tập trung vào ví tiền mã hóa và các ứng dụng quản lý mật khẩu.
Nguồn: The Hacker News
Theo báo cáo từ Netskope Threat Labs, hoạt động của chiến dịch được ghi nhận ít nhất từ tháng 2/2026, cho thấy đây không phải một đợt phát tán ngắn hạn mà là một chiến dịch được chuẩn bị có tổ chức. Đến ngày 9/3/2026, tin tặc đã đăng ký tên miền giả mạo openclaw-installer.com và sử dụng nó như điểm phát tán chính để dụ người dùng tải về bộ cài độc hại khi tìm kiếm các công cụ AI hợp pháp.
Bộ cài giả mạo nặng 130MB để vượt mặt antivirus và sandbox
Website giả mạo phát tán tệp OpenClaw_x64[.]7z, bên trong chứa một file thực thi viết bằng Rust có dung lượng lên tới 130MB. Theo Netskope, kích thước bất thường này không phải ngẫu nhiên mà được tạo ra có chủ đích nhằm né các cơ chế phòng thủ tự động, bao gồm cả phần mềm antivirus lẫn các hệ thống sandbox phân tích mã độc. Việc “độn” dung lượng lớn giúp tệp vượt qua một số ngưỡng quét tự động và giới hạn xử lý của hệ thống phân tích, từ đó làm giảm khả năng bị phát hiện trong giai đoạn đầu xâm nhập.
Trang cài đặt giả mạo của OpenClaw (Nguồn: Netskope)
Các nhà nghiên cứu đặt tên cho làn sóng tấn công này là “Hologram”, được đánh giá là phiên bản có khả năng né tránh phân tích và duy trì hiện diện tinh vi hơn đáng kể so với các biến thể trước đó. Đáng chú ý, ngay trong phần manifest, dropper còn tự mô tả là “Decoy entity generator for tactical misdirection”, tạm dịch là “thực thể đánh lạc hướng chiến thuật”, cho thấy mức độ chủ đích trong việc che giấu hành vi thực sự.
Sau khi được thực thi trên thiết bị nạn nhân, mã độc bắt đầu chuỗi kiểm tra môi trường nhằm xác định liệu hệ thống có đang bị phân tích hay không. Cụ thể, nó rà soát các dấu hiệu liên quan đến máy ảo như chuỗi BIOS, các thư viện đặc trưng của môi trường sandbox, cũng như những cấu hình phần cứng bất thường thường xuất hiện trong hệ thống nghiên cứu bảo mật.
Nếu không phát hiện dấu hiệu của môi trường phân tích, mã độc tiếp tục bước sang giai đoạn chờ hành vi người dùng thực, đặc biệt là chuyển động chuột. Đây là một kỹ thuật né tránh phổ biến nhằm qua mặt các sandbox tự động vốn không mô phỏng đầy đủ tương tác người dùng, từ đó giúp mã độc chỉ kích hoạt payload khi chắc chắn đang chạy trên thiết bị thật.
Sau khi được thực thi trên thiết bị nạn nhân, mã độc bắt đầu chuỗi kiểm tra môi trường nhằm xác định liệu hệ thống có đang bị phân tích hay không. Cụ thể, nó rà soát các dấu hiệu liên quan đến máy ảo như chuỗi BIOS, các thư viện đặc trưng của môi trường sandbox, cũng như những cấu hình phần cứng bất thường thường xuất hiện trong hệ thống nghiên cứu bảo mật.
Nếu không phát hiện dấu hiệu của môi trường phân tích, mã độc tiếp tục bước sang giai đoạn chờ hành vi người dùng thực, đặc biệt là chuyển động chuột. Đây là một kỹ thuật né tránh phổ biến nhằm qua mặt các sandbox tự động vốn không mô phỏng đầy đủ tương tác người dùng, từ đó giúp mã độc chỉ kích hoạt payload khi chắc chắn đang chạy trên thiết bị thật.
Vô hiệu hóa Windows Defender, triển khai 6 module tấn công
Khi xác định đang hoạt động trên thiết bị thật, dropper tiến hành hàng loạt hành vi nhằm mở rộng quyền kiểm soát hệ thống. Trước hết, mã độc vô hiệu hóa Windows Defender, sau đó tự động tạo các rule firewall để mở dải cổng từ 56001 đến 57002, phục vụ cho kênh liên lạc điều khiển từ xa. Ngay sau bước này, hệ thống tải xuống đồng thời sáu module độc hại riêng biệt từ hạ tầng của kẻ tấn công.
Sau khi toàn bộ module được triển khai thành công, mã độc gửi tín hiệu xác nhận về kênh Telegram do kẻ tấn công kiểm soát, cho thấy quá trình xâm nhập đã hoàn tất và thiết bị đã nằm trong vòng kiểm soát.
Chuỗi tấn công được thiết kế theo mô hình phân tách chức năng rõ ràng giữa các module. Trong đó, một module đảm nhiệm việc thu thập fingerprint phần cứng của thiết bị nhằm đánh giá giá trị mục tiêu, phục vụ phân loại nạn nhân trước khi khai thác sâu hơn. Một module khác thiết lập kết nối C2 ổn định và duy trì liên lạc lâu dài với hạ tầng điều khiển của kẻ tấn công.
Đáng chú ý, mã độc còn sử dụng thành phần viết bằng Rust có tên clroxide để tải assembly .NET trực tiếp vào bộ nhớ. Theo Netskope, đây là kỹ thuật chưa từng được ghi nhận trong các chiến dịch crimeware trước đây, cho thấy mức độ phức tạp và khả năng né tránh phân tích ở cấp độ cao hơn so với các biến thể infostealer thông thường.
Sau khi toàn bộ module được triển khai thành công, mã độc gửi tín hiệu xác nhận về kênh Telegram do kẻ tấn công kiểm soát, cho thấy quá trình xâm nhập đã hoàn tất và thiết bị đã nằm trong vòng kiểm soát.
Chuỗi tấn công được thiết kế theo mô hình phân tách chức năng rõ ràng giữa các module. Trong đó, một module đảm nhiệm việc thu thập fingerprint phần cứng của thiết bị nhằm đánh giá giá trị mục tiêu, phục vụ phân loại nạn nhân trước khi khai thác sâu hơn. Một module khác thiết lập kết nối C2 ổn định và duy trì liên lạc lâu dài với hạ tầng điều khiển của kẻ tấn công.
Đáng chú ý, mã độc còn sử dụng thành phần viết bằng Rust có tên clroxide để tải assembly .NET trực tiếp vào bộ nhớ. Theo Netskope, đây là kỹ thuật chưa từng được ghi nhận trong các chiến dịch crimeware trước đây, cho thấy mức độ phức tạp và khả năng né tránh phân tích ở cấp độ cao hơn so với các biến thể infostealer thông thường.
Nhắm tới hơn 250 tiện ích liên quan tiền số và mật khẩu
Phần nguy hiểm nhất của chiến dịch nằm ở khả năng đánh cắp dữ liệu với quy mô lớn và có thể mở rộng theo thời gian. Thay vì nhúng cứng danh sách mục tiêu trực tiếp trong mã nhị phân như các biến thể infostealer thông thường, mã độc truy xuất danh sách này từ một kho Azure DevOps do kẻ tấn công kiểm soát. Cách tiếp cận này biến danh sách mục tiêu thành một nguồn dữ liệu động, cho phép kẻ tấn công liên tục bổ sung hoặc điều chỉnh các ứng dụng bị nhắm tới mà không cần cập nhật lại mã độc trên thiết bị nạn nhân, qua đó giảm nguy cơ bị phát hiện theo chữ ký.
Theo dữ liệu ghi nhận, hệ thống mục tiêu trải rộng trên hơn 250 tiện ích mở rộng trình duyệt. Trong đó có khoảng 201 tiện ích liên quan trực tiếp đến ví tiền mã hóa như MetaMask, Phantom, Coinbase Wallet, OKX, Rabby và Ronin. Nhóm còn lại gồm 49 ứng dụng thuộc nhóm quản lý mật khẩu và xác thực đa yếu tố như Bitwarden, LastPass, 1Password, NordPass, KeePass và Google Authenticator, vốn lưu trữ các thông tin đăng nhập có mức độ nhạy cảm cao.
Không dừng lại ở trình duyệt, chuỗi tấn công còn mở rộng sang hệ thống tập tin cục bộ. Mã độc chủ động truy cập thư mục Ledger Live trên thiết bị, từ đó khai thác thêm dữ liệu liên quan đến ví phần cứng Ledger. Cách tiếp cận này tạo ra một hướng đánh cắp song song, tách biệt với luồng khai thác từ trình duyệt, giúp gia tăng khả năng thu thập thông tin tài sản số của nạn nhân.
Sự kết hợp giữa danh sách mục tiêu động thông qua Azure DevOps và khả năng khai thác nhiều nguồn dữ liệu khác nhau khiến chiến dịch trở nên linh hoạt, khó dự đoán và khó vô hiệu hóa bằng các biện pháp phòng thủ truyền thống vốn phụ thuộc nhiều vào danh sách mục tiêu cố định.
Theo dữ liệu ghi nhận, hệ thống mục tiêu trải rộng trên hơn 250 tiện ích mở rộng trình duyệt. Trong đó có khoảng 201 tiện ích liên quan trực tiếp đến ví tiền mã hóa như MetaMask, Phantom, Coinbase Wallet, OKX, Rabby và Ronin. Nhóm còn lại gồm 49 ứng dụng thuộc nhóm quản lý mật khẩu và xác thực đa yếu tố như Bitwarden, LastPass, 1Password, NordPass, KeePass và Google Authenticator, vốn lưu trữ các thông tin đăng nhập có mức độ nhạy cảm cao.
Không dừng lại ở trình duyệt, chuỗi tấn công còn mở rộng sang hệ thống tập tin cục bộ. Mã độc chủ động truy cập thư mục Ledger Live trên thiết bị, từ đó khai thác thêm dữ liệu liên quan đến ví phần cứng Ledger. Cách tiếp cận này tạo ra một hướng đánh cắp song song, tách biệt với luồng khai thác từ trình duyệt, giúp gia tăng khả năng thu thập thông tin tài sản số của nạn nhân.
Sự kết hợp giữa danh sách mục tiêu động thông qua Azure DevOps và khả năng khai thác nhiều nguồn dữ liệu khác nhau khiến chiến dịch trở nên linh hoạt, khó dự đoán và khó vô hiệu hóa bằng các biện pháp phòng thủ truyền thống vốn phụ thuộc nhiều vào danh sách mục tiêu cố định.
Cơ chế bám trụ nhiều lớp giúp mã độc tồn tại lâu dài trong hệ thống
Để duy trì hiện diện lâu dài trong hệ thống, mã độc triển khai đồng thời nhiều cơ chế bám trụ khác nhau như registry autorun, hijack Winlogon Userinit, scheduled task và các dropper dự phòng hoạt động thông qua Telegram. Việc sử dụng nhiều lớp persistence giúp mã độc vẫn có thể tự khởi chạy lại hoặc tải lại thành phần bị mất ngay cả khi implant chính đã bị xóa khỏi thiết bị.
Trong quá trình phân tích, Netskope cũng phát hiện nhóm vận hành liên tục thay đổi hạ tầng điều khiển nhằm gây khó khăn cho việc truy vết và ngăn chặn. Thay vì hardcode địa chỉ máy chủ C2 trong mã độc như thông thường, mã độc sẽ đọc động thông tin kết nối từ phần mô tả của một kênh Telegram do kẻ tấn công kiểm soát.
Trong quá trình phân tích, Netskope cũng phát hiện nhóm vận hành liên tục thay đổi hạ tầng điều khiển nhằm gây khó khăn cho việc truy vết và ngăn chặn. Thay vì hardcode địa chỉ máy chủ C2 trong mã độc như thông thường, mã độc sẽ đọc động thông tin kết nối từ phần mô tả của một kênh Telegram do kẻ tấn công kiểm soát.
Ảnh chụp màn hình hiển thị liên kết khởi động OneDriveSync (Nguồn: Netskope)
Cách vận hành này cho phép nhóm tấn công thay đổi máy chủ điều khiển gần như tức thời. Nếu một tên miền hoặc địa chỉ IP bị phát hiện và chặn, chúng chỉ cần cập nhật nội dung trong Telegram để toàn bộ mã độc đang hoạt động tự động chuyển sang hạ tầng mới trong lần kết nối tiếp theo.
Không dừng lại ở đó, toàn bộ dữ liệu đánh cắp từ nạn nhân như username, địa chỉ IP và timestamp còn được chuyển tiếp thông qua Hookdeck, một dịch vụ webhook relay hợp pháp. Việc lợi dụng dịch vụ trung gian giúp che giấu Telegram bot token khỏi lưu lượng mạng, đồng thời khiến quá trình lần ngược backend điều khiển thực sự trở nên khó khăn hơn đáng kể.
Khuyến nghị
Các chuyên gia nhận định việc chặn riêng lẻ từng tên miền gần như không đủ để ngăn chặn chiến dịch này, do kẻ tấn công liên tục thay đổi hạ tầng điều khiển và máy chủ C2 nhằm né tránh phát hiện.
Thay vì chỉ dựa vào blacklist domain, doanh nghiệp được khuyến nghị tập trung theo dõi các dấu hiệu hành vi bất thường trong hệ thống, đặc biệt là những hoạt động liên quan tới cơ chế né tránh phân tích và duy trì kết nối điều khiển của mã độc.
Một số dấu hiệu đáng chú ý gồm:
Thay vì chỉ dựa vào blacklist domain, doanh nghiệp được khuyến nghị tập trung theo dõi các dấu hiệu hành vi bất thường trong hệ thống, đặc biệt là những hoạt động liên quan tới cơ chế né tránh phân tích và duy trì kết nối điều khiển của mã độc.
Một số dấu hiệu đáng chú ý gồm:
- File cài đặt có dung lượng bất thường
- PowerShell được khởi chạy từ các binary không rõ nguồn gốc
- Kết nối tới các dịch vụ webhook relay
- Azure DevOps traffic phát sinh từ tiến trình không liên quan hoạt động lập trình hoặc phát triển phần mềm
- Firewall bị tự động mở trên dải cổng 56001–57002
Một số IoC đáng chú ý
File hash
- 4014048f8e60d39f724d5b1ae34210ffeac151e1f2d4813dbb51c719d4ad7c3a - OpenClaw_x64[.]exe
- 40fc240febf2441d58a7e2554e4590e172bfefd289a5d9fa6781de38e266b378 - svc_service[.]exe
- 605096b9729bd8eedab460dbd4baf702029fb59842020a27fc0f99fd2ef63040 - virtnetwork[.]exe
- 6ae9f9cfa8e638e933ad8b06de7434c395ec68ee9cc4e735069bfb64646bb180 - onedrive_sync[.]exe
Domain liên quan
- openclaw-installer.com
- hkdk.events
- dev.azure.com
- api.telegram.org
- transcloud.cc
- steamhostserver.cc
- serverconect.cc
Đường dẫn persistence
- C:\Users\Public\
- %APPDATA%\Ledger Live
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\OneDriveSync[.]lnk
Registry bị lợi dụng
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run{NetworkManager}
Sự bùng nổ của các công cụ AI mã nguồn mở cũng đang mở ra cơ hội để các nhóm tấn công lợi dụng phát tán mã độc dưới vỏ bọc phần mềm hợp pháp. Người dùng vì vậy cần đặc biệt thận trọng với các bộ cài đặt được chia sẻ ngoài kênh chính thức, kể cả khi website hoặc giao diện tải xuống được thiết kế rất chuyên nghiệp. Các chiến dịch giả mạo installer hiện không còn dừng ở việc phát tán trojan thông thường mà đã phát triển thành những hệ thống tấn công nhiều lớp, có khả năng né tránh phân tích, bám trụ lâu dài trong hệ thống và đánh cắp dữ liệu ở mức độ rất sâu, đặc biệt với các thông tin liên quan tiền mã hóa và tài khoản xác thực.
Theo Cyber Security News
Chỉnh sửa lần cuối: