Vào đầu năm 2025, mã độc LummaStealer đã được tội phạm mạng sử dụng rộng rãi, nhắm mục tiêu vào các nạn nhân trên khắp thế giới trong nhiều lĩnh vực công nghiệp khác nhau, bao gồm viễn thông, chăm sóc sức khỏe, ngân hàng và tiếp thị.

Một chiến dịch thực thi pháp luật quy mô lớn vào tháng 5 đã tạm dừng hoạt động này. Sau một thời gian yên ắng, chúng tôi hiện đang chứng kiến sự xuất hiện trở lại của các biến thể mã độc LummaStealer mới.

Sự Tái Xuất và Kỹ thuật Né tránh của Mã độc LummaStealer

Netskope Threat Labs đã theo dõi một chiến dịch mã độc LummaStealer vào tháng 1 năm 2025, ghi lại các cơ chế phân phối và kỹ thuật TTPs của nó. Phân tích đó đã mô tả chi tiết các captcha giả mạo, các file nén độc hại và các kỹ thuật giải nén nhiều giai đoạn.

Kể từ tiết lộ ban đầu đó, các tác nhân đe dọa đã tinh chỉnh các lớp che giấu, khiến việc phát hiện tấn công trở nên khó khăn hơn. Chúng tôi tập trung vào một mẫu mã độc LummaStealer mới (hash: 87118baadfa7075d7b9d2aff75d8e730) và chiến lược phát hiện dựa trên ML được sử dụng bởi Netskope AI Labs.

Chiến lược Phát hiện Mã độc LummaStealer dựa trên AI/ML

Nền tảng Advanced Threat Protection của Netskope kết hợp chữ ký tĩnh với phân tích động dựa trên sandbox, được hỗ trợ bởi AI và máy học. Kiến trúc đa lớp của chúng tôi áp dụng các mô hình ML trong cả quét nhanh inline và quét sâu.

Các file đáng ngờ được kích hoạt trong một sandbox đám mây Windows biệt lập, nơi hành vi runtime chi tiết được ghi lại.

Mô hình Transformer và Phân tích Hành vi

• Một mô hình dựa trên transformer tiếp nhận cây quy trình phân cấp dưới dạng một chuỗi các nhúng nút, được tăng cường bởi mã hóa vị trí cây.
• Đồng thời, các sự kiện hành vi runtime – ghi vào registry, tạo file, kết nối ra ngoài – được chuyển đổi thành vector.
• Các lớp transformer cây của mô hình nắm bắt các mẫu phức tạp giữa các nút, trong khi các vector hành vi làm nổi bật các hành động bất thường.

Bằng cách kết hợp các nhúng này, hệ thống vượt trội trong việc gắn cờ các mã độc LummaStealer chưa từng thấy trước đây, ngăn chặn việc khớp quá mức với các mẫu đã biết.

Phân tích Mẫu Mã độc và Kỹ thuật Thực thi

Khi thực thi, mẫu mã độc LummaStealer đã kích hoạt điểm số bất thường cao trong cả dấu chân cây quy trình và vector hành vi của nó. Điều này khẳng định sức mạnh của công nghệ phát hiện dựa trên transformer cây đã được cấp bằng sáng chế của Netskope, xác định file là độc hại bất chấp các lớp che giấu mới.

Cơ chế Phân phối: NSIS Installer và AutoIt

Mẫu được phân tích là một trình cài đặt Nullsoft Scriptable Install System (NSIS). Định dạng NSIS cho phép các tác nhân đe dọa đóng gói và khởi chạy các script tùy chỉnh dưới vỏ bọc của các trình cài đặt hợp pháp. Việc kiểm tra bằng Detect It Easy (DIE) đã xác nhận định dạng NSIS, tiết lộ các script AutoIt nhúng.

Khi được trích xuất bằng 7-Zip, hai mục đã xuất hiện:

• Một file batch: _
• Một file script: u.a3x

Script NSIS gọi file batch, đến lượt file batch này lại trích xuất một file autoit3.exe đã được đổi tên và script u.a3x liên quan. File u.a3x chứa một script AutoIt độc hại sử dụng kỹ thuật che giấu while-loop và switch-case.

Các tính năng chính bao gồm:

• Che giấu chuỗi: Sử dụng các chuỗi được mã hóa và giải mã runtime để tránh phát hiện tấn công.
• Kháng phân tích: Kiểm tra sự hiện diện của môi trường sandbox hoặc máy ảo.

Để biết thêm chi tiết về lỗ hổng 7-Zip, bạn có thể tham khảo tại đây.

Kỹ thuật Duy trì Quyền truy cập (Persistence)

Sự duy trì quyền truy cập đạt được bằng cách khởi chạy cmd.exe thông qua CreateProcessW, tạo một shortcut .url trong thư mục Khởi động của Windows để chạy một wrapper JScript khi đăng nhập. Wrapper này khởi tạo Wscript.Shell để thực thi lại payload AutoIt.

Do các kỹ thuật né tránh và chống phân tích của nó, mẫu mã độc LummaStealer ban đầu chỉ đạt tỷ lệ phát hiện rất thấp trên VirusTotal (9/73) trong lần gửi đầu tiên.

Tải trọng Giai đoạn Tiếp theo

Tải trọng giai đoạn tiếp theo được nén LZ trong bộ nhớ. Một quy trình giải mã tự định nghĩa sử dụng hai chức năng: một cho ánh xạ khóa, chức năng còn lại cho giải nén. Cuối cùng, API Windows RtlDecompressFragmentWindows với định dạng LZ (0x2) đã giải nén một tệp thực thi PE trong bộ nhớ.

Do C2 không hoạt động, không thể phân tích sâu hơn giai đoạn này.

Hiệu quả Phát hiện của Netskope Advanced Threat Protection

Netskope Advanced Threat Protection đã gắn cờ mẫu với các mã phát hiện phù hợp. Ảnh chụp màn hình Cloud Sandbox xác nhận rằng mẫu 87118baadfa7075d7b9d2aff75d8e730 đã được phát hiện thành công, cho thấy hiệu quả của mô hình ML chống lại các mối đe dọa mới, tinh vi.

Các nhà điều hành mã độc LummaStealer tiếp tục phát triển, tận dụng các công cụ hợp pháp và các lớp che giấu để né tránh hệ thống phòng thủ. Sự tái xuất này nhấn mạnh nhu cầu cấp thiết về các giải pháp bảo vệ mối đe dọa nâng cao tích hợp phân tích tĩnh, sandbox động và phát hiện dựa trên ML.

Các tổ chức cũng nên ưu tiên đào tạo nâng cao nhận thức người dùng, vì nhiều chuỗi lây nhiễm bắt đầu bằng tương tác của người dùng cuối. Netskope sẽ tiếp tục giám sát các chiến dịch mã độc LummaStealer, cung cấp các bản cập nhật kịp thời khi TTPs của nó phát triển, góp phần củng cố an ninh mạng toàn diện cho doanh nghiệp.