-
09/04/2020
-
99
-
813 bài viết
Tấn công chiếm quyền chỉ trong 24 giờ: Mã độc Stealer hoạt động như thế nào?
Mã độc Stealer không chỉ lấy cắp mật khẩu mà còn chiếm cả phiên đăng nhập đang hoạt động (session token), đặc biệt các nhóm tấn công đang hành động nhanh và tinh vi hơn bao giờ hết.
Stealer là một loại mã độc được thiết kế để đánh cắp dữ liệu từ máy tính người dùng. Loại mã độc này có thể thu thập mật khẩu, cookie trình duyệt, token phiên đăng nhập (session token), ví tiền điện tử và nhiều thông tin nhạy cảm khác. Khác với mã độc tống tiền thường gây chú ý, stealer lại hoạt động âm thầm, bí mật gửi dữ liệu bị đánh cắp về máy chủ điều khiển hoặc bot trên Telegram chỉ trong vài phút sau khi lây nhiễm.
Đáng lo ngại hơn, các nhóm tin tặc hiện nay không chỉ lấy cắp mật khẩu mà còn chiếm luôn quyền truy cập vào các tài khoản đang đăng nhập. Chúng làm điều này bằng cách sử dụng session token - dữ liệu được trình duyệt lưu lại để giữ trạng thái đăng nhập mà không cần nhập lại mật khẩu. Khi có được token này, kẻ tấn công có thể đăng nhập vào tài khoản của nạn nhân mà không cần biết mật khẩu hay vượt qua lớp xác thực đa yếu tố.
Nhiều người vẫn nghĩ các vụ chiếm quyền tài khoản chỉ ảnh hưởng đến cá nhân. Tuy nhiên, báo cáo của các chuyên gia đã phân tích hơn 20 triệu log từ mã độc stealer và hoạt động của hacker trên các kênh Telegram, chợ đen. Kết quả cho thấy: chỉ trong vòng 24 giờ, một điểm cuối (endpoint) bị nhiễm mã độc có thể trở thành “cửa ngõ” giúp kẻ tấn công đột nhập vào hạ tầng doanh nghiệp.
1. Nhiễm mã độc và đánh cắp dữ liệu diễn ra trong chưa đầy 1 giờ
Cuộc tấn công bắt đầu khi người dùng vô tình tải và mở một tệp độc hại, thường được nguỵ trang dưới dạng phần mềm bẻ khóa, bản cập nhật giả mạo hoặc tệp đính kèm phishing. Ngay sau đó, các mã độc phổ biến như Redline (44%), Raccoon (25%) và LummaC2 (18%) sẽ ngay lập tức thực hiện các hành vi sau:
Sau khi dữ liệu được thu thập, tin tặc nhanh chóng lọc ra các session token có giá trị cao, giúp chúng truy cập vào các dịch vụ mà không cần mật khẩu hay xác thực đa yếu tố (MFA):
Giá bán trên thị trường chợ đen:
Khi mua được token phiên đăng nhập, hacker sử dụng trình duyệt giả lập (anti-detect browser) để nhập token và truy cập tài khoản nạn nhân mà không cần mật khẩu hay MFA.
Chúng có thể thực hiện các hành vi nguy hiểm như:
Khác với các cuộc tấn công truyền thống khai thác lỗ hổng của nhà cung cấp dịch vụ như Microsoft, Google hay AWS, những cuộc tấn công kiểu này lại bắt nguồn từ người dùng cuối bị nhiễm mã độc stealer. Chính từ điểm yếu này, kẻ tấn công có thể giả danh nhân viên, đột nhập hệ thống nội bộ, đánh cắp dữ liệu nhạy cảm và leo thang đặc quyền trong hạ tầng doanh nghiệp.
Theo báo cáo Verizon Data Breach Investigations Report (DBIR) 2025, có tới 88% các sự cố lộ lọt dữ liệu bắt nguồn từ thông tin xác thực bị đánh cắp. Điều đó cho thấy: định danh và kiểm soát phiên truy cập đang trở thành mặt trận nóng bỏng nhất trong cuộc chiến bảo mật hiện đại.
Stealer là một loại mã độc được thiết kế để đánh cắp dữ liệu từ máy tính người dùng. Loại mã độc này có thể thu thập mật khẩu, cookie trình duyệt, token phiên đăng nhập (session token), ví tiền điện tử và nhiều thông tin nhạy cảm khác. Khác với mã độc tống tiền thường gây chú ý, stealer lại hoạt động âm thầm, bí mật gửi dữ liệu bị đánh cắp về máy chủ điều khiển hoặc bot trên Telegram chỉ trong vài phút sau khi lây nhiễm.
Đáng lo ngại hơn, các nhóm tin tặc hiện nay không chỉ lấy cắp mật khẩu mà còn chiếm luôn quyền truy cập vào các tài khoản đang đăng nhập. Chúng làm điều này bằng cách sử dụng session token - dữ liệu được trình duyệt lưu lại để giữ trạng thái đăng nhập mà không cần nhập lại mật khẩu. Khi có được token này, kẻ tấn công có thể đăng nhập vào tài khoản của nạn nhân mà không cần biết mật khẩu hay vượt qua lớp xác thực đa yếu tố.
Mối đe dọa bao trùm từ cá nhân đến doanh nghiệp
Theo báo cáo mới nhất của công ty công nghệ Flare, mối đe dọa thực sự không chỉ nhắm vào người dùng cá nhân. Các tổ chức, doanh nghiệp mới là mục tiêu chính. Chỉ cần một máy tính của nhân viên bị nhiễm stealer, hacker có thể chiếm quyền truy cập vào hệ thống nội bộ, email công việc, công cụ cộng tác như Slack hoặc các nền tảng đám mây như Microsoft 365 và AWS, tất cả chỉ trong vòng 24 giờ.Nhiều người vẫn nghĩ các vụ chiếm quyền tài khoản chỉ ảnh hưởng đến cá nhân. Tuy nhiên, báo cáo của các chuyên gia đã phân tích hơn 20 triệu log từ mã độc stealer và hoạt động của hacker trên các kênh Telegram, chợ đen. Kết quả cho thấy: chỉ trong vòng 24 giờ, một điểm cuối (endpoint) bị nhiễm mã độc có thể trở thành “cửa ngõ” giúp kẻ tấn công đột nhập vào hạ tầng doanh nghiệp.
1. Nhiễm mã độc và đánh cắp dữ liệu diễn ra trong chưa đầy 1 giờ
Cuộc tấn công bắt đầu khi người dùng vô tình tải và mở một tệp độc hại, thường được nguỵ trang dưới dạng phần mềm bẻ khóa, bản cập nhật giả mạo hoặc tệp đính kèm phishing. Ngay sau đó, các mã độc phổ biến như Redline (44%), Raccoon (25%) và LummaC2 (18%) sẽ ngay lập tức thực hiện các hành vi sau:
- Thu thập cookie trình duyệt, mật khẩu đã lưu, token phiên đăng nhập và ví tiền điện tử
- Gửi dữ liệu về máy chủ điều khiển (C2) hoặc bot Telegram chỉ trong vài phút
- Đăng tải dữ liệu lên các kênh Telegram chuyên phân phối log, nơi thông tin được sắp xếp theo loại ứng dụng, vị trí địa lý và mức độ truy cập
Sau khi dữ liệu được thu thập, tin tặc nhanh chóng lọc ra các session token có giá trị cao, giúp chúng truy cập vào các dịch vụ mà không cần mật khẩu hay xác thực đa yếu tố (MFA):
- 44% bản ghi chứa phiên đăng nhập của Microsoft
- 20% chứa phiên của Google
- Hơn 5% có token từ các dịch vụ đám mây như AWS, Azure hoặc GCP
Giá bán trên thị trường chợ đen:
- Tài khoản người dùng phổ thông: 5 - 20 USD
- Tài khoản doanh nghiệp (AWS, Microsoft): lên tới 1.200 USD
Khi mua được token phiên đăng nhập, hacker sử dụng trình duyệt giả lập (anti-detect browser) để nhập token và truy cập tài khoản nạn nhân mà không cần mật khẩu hay MFA.
Chúng có thể thực hiện các hành vi nguy hiểm như:
- Đọc email công việc (Gmail, Microsoft 365)
- Truy cập hệ thống nội bộ như Slack, Confluence, dashboard quản trị
- Tải về dữ liệu quan trọng từ nền tảng đám mây
- Cài mã độc, triển khai ransomware hoặc di chuyển ngang trong hệ thống
Khác với các cuộc tấn công truyền thống khai thác lỗ hổng của nhà cung cấp dịch vụ như Microsoft, Google hay AWS, những cuộc tấn công kiểu này lại bắt nguồn từ người dùng cuối bị nhiễm mã độc stealer. Chính từ điểm yếu này, kẻ tấn công có thể giả danh nhân viên, đột nhập hệ thống nội bộ, đánh cắp dữ liệu nhạy cảm và leo thang đặc quyền trong hạ tầng doanh nghiệp.
Theo báo cáo Verizon Data Breach Investigations Report (DBIR) 2025, có tới 88% các sự cố lộ lọt dữ liệu bắt nguồn từ thông tin xác thực bị đánh cắp. Điều đó cho thấy: định danh và kiểm soát phiên truy cập đang trở thành mặt trận nóng bỏng nhất trong cuộc chiến bảo mật hiện đại.
Vậy doanh nghiệp cần làm gì?
Để bảo vệ tổ chức trước mối đe dọa này, session token phải được xem là tài sản bảo mật quan trọng tương tự mật khẩu. Việc thay đổi tư duy phòng thủ là điều cấp thiết. Một số biện pháp cốt lõi bao gồm:- Thu hồi toàn bộ phiên đăng nhập ngay khi phát hiện thiết bị có dấu hiệu nhiễm mã độc
- Giám sát lưu lượng mạng, đặc biệt là các kết nối đến tên miền Telegram - dấu hiệu phổ biến cho việc dữ liệu bị rò rỉ
- Triển khai công nghệ nhận dạng fingerprint trình duyệt và phân tích hành vi để phát hiện truy cập bất thường từ thiết bị không xác định
Theo The Hacker News