Acreed infostealer, một loại mã độc đánh cắp thông tin mới được phát hiện vào tháng 2 năm 2025, đã nhanh chóng trở thành mối quan tâm lớn trong giới bảo mật. Mã độc này được các tác nhân đe dọa sử dụng để thu thập thông tin đăng nhập và dữ liệu tiền điện tử một cách kín đáo và hiệu quả, đặt ra một mối đe dọa mạng đáng kể cho người dùng cá nhân và tổ chức.

Sự Trỗi Dậy Của Acreed Infostealer

Acreed nổi bật với cơ chế điều khiển và kiểm soát (C2) độc đáo, tận dụng các hồ sơ cộng đồng trên nền tảng Steam.

Loại mã độc này thể hiện các biện pháp OPSEC (Operational Security) tiên tiến và tính linh hoạt cao, tạo nên sự khác biệt đáng kể so với các infostealer đã tồn tại như Lumma.

Nguồn Gốc và Thị Trường Ngầm của Mã độc Acreed

Acreed infostealer lần đầu tiên được ghi nhận trên các thị trường ngầm của Nga vào ngày 14 tháng 2 năm 2025, được bán độc quyền bởi một tác nhân đe dọa với biệt danh Nuez.

Chỉ trong vài tháng, mã độc này đã nhanh chóng chiếm lĩnh thị trường, vượt qua nhiều infostealer khác và chiếm 17% doanh số bán nhật ký vào tháng 9 năm 2025, đứng thứ ba toàn cầu sau Rhadamanthys và Lumma.

Sự phát triển mạnh mẽ của Acreed càng được đẩy nhanh sau chiến dịch toàn cầu triệt phá Lumma vào tháng 5 năm 2025, khi hơn 1300 tên miền Lumma bị tịch thu bởi Europol và Microsoft.

Điều này nhấn mạnh sức hấp dẫn của Acreed như một lựa chọn thay thế “low-visibility” (ít bị phát hiện) trên thị trường mã độc, làm tăng thêm thách thức cho an ninh mạng.

Đặc Điểm Dữ Liệu và Khả Năng Né Tránh Phân Tích Pháp Y

Không giống như các infostealer cồng kềnh thường tạo ra các tệp nhật ký có dung lượng lớn (1–5 MB), Acreed tạo ra các tệp nhật ký cực kỳ nhỏ gọn.

Các tệp này chỉ chứa các thông tin nhạy cảm cốt lõi như mật khẩu, cookie, dữ liệu tự động điền và thông tin ví điện tử (có thể được mã hóa), giảm thiểu đáng kể khối lượng dữ liệu được đánh cắp.

Dấu chân tối thiểu này không chỉ giúp mã độc Acreed tránh bị phát hiện mà còn gây khó khăn cho các hoạt động phân tích pháp y truyền thống.

Bằng cách cố tình bỏ qua các tạo phẩm phổ biến như lịch sử trình duyệt hoặc đường dẫn tải xuống, mã độc này cản trở nghiêm trọng việc xác định nguồn gốc lây nhiễm, tiềm ẩn nguy cơ rò rỉ dữ liệu nhạy cảm mà không để lại nhiều dấu vết.

Phân Tích Kỹ Thuật Chuyên Sâu Về Acreed Infostealer

Để đối phó hiệu quả với loại mã độc Acreed này, việc hiểu rõ các kỹ thuật C2 và cơ sở hạ tầng mà nó sử dụng là vô cùng cần thiết.

Kỹ Thuật C2 Dead-Drop Resolver Độc Đáo

Acreed infostealer lấy miền C2 của mình thông qua các kỹ thuật dead-drop resolver tiên tiến và khéo léo.

• Một trong số đó là việc sử dụng các hồ sơ cộng đồng trên nền tảng Steam, một phương pháp độc đáo giúp che giấu giao tiếp C2 một cách hiệu quả.
• Mã độc này còn sử dụng một kỹ thuật dead-drop resolver thứ hai, không được công khai chi tiết, nhằm tăng cường khả năng ẩn mình và duy trì kết nối với máy chủ điều khiển.

Sau khi thành công trong việc lấy miền C2, Acreed sẽ triển khai các module JavaScript từ các miền điều khiển của nó để thực hiện các tác vụ độc hại cụ thể trên hệ thống bị ảnh hưởng, từ thu thập thông tin đến các hoạt động phức tạp hơn.

Thông Tin Về Cơ Sở Hạ Tầng và Chỉ Số Thỏa Hiệp (IOCs)

Phân tích tình báo mối đe dọa (Threat Intelligence) đã chỉ ra rằng địa chỉ IP C2 của Acreed là 186.2.166.198.

Địa chỉ này có liên quan đến cụm máy chủ của ProManaged LLC tại UAE, một chi tiết quan trọng giúp xác định cơ sở hạ tầng của kẻ tấn công.

Điều đáng chú ý là cụm máy chủ này cũng trùng lặp với cơ sở hạ tầng của Vidar stealer đã được ghi nhận vào đầu năm 2023, cho thấy khả năng liên kết hoặc chia sẻ tài nguyên giữa các nhóm tội phạm mạng.

Việc liên lạc với miền C2 của Acreed infostealer được thực hiện thông qua các yêu cầu HTTP GET hoặc HTTP POST trên cổng 443, một cổng phổ biến thường được sử dụng cho giao tiếp HTTPS.

Các dấu vân tay SSL được chia sẻ, hành vi chuyển hướng (ví dụ: chuyển hướng APNews.com) và các bất thường cổng SSH trên cổng 50022.

Những yếu tố này củng cố mối liên hệ giữa các hoạt động, gợi ý về khả năng có chung cơ sở hạ tầng hoạt động hoặc các mối liên hệ giữa các nhà phát triển đứng sau các loại mã độc này.

Chỉ Số Thỏa Hiệp (IOCs) của Acreed Infostealer:

• Địa chỉ IP C2:

  186.2.166.198

• Cổng giao tiếp C2:

  443 (HTTP GET/POST)

• Cổng SSH bất thường:

  50022

Thông tin chi tiết về hoạt động và phân tích chuyên sâu về Acreed infostealer có thể được tham khảo trong báo cáo của Intrinsec: TLP-CLEAR-Sept-2025-Acreed-infostealer-EN.pdf.

Đối Phó Với Mối Đe Dọa Mạng Từ Acreed Infostealer

Sự kết hợp đổi mới của Acreed giữa các dead-drop resolver dựa trên blockchain và nền tảng trò chơi, cùng với các tải trọng đánh cắp dữ liệu nhẹ, đã định vị nó là một đối thủ đáng gờm trong bối cảnh infostealer hiện nay.

Mức độ tinh vi và khả năng thích nghi của mã độc này đặt ra những thách thức đáng kể cho các hệ thống phòng thủ truyền thống.

Sự tương tác phức tạp của cơ sở hạ tầng Acreed với các họ mã độc đã có nhấn mạnh nhu cầu cấp thiết về việc triển khai các biện pháp phòng thủ thích ứng và linh hoạt.

Các tổ chức cần đầu tư vào các hệ thống phát hiện xâm nhập (IDS) tiên tiến và công cụ phân tích hành vi để nhận diện các dấu hiệu bất thường mà Acreed có thể tạo ra.

Việc liên tục giám sát các kỹ thuật dead-drop mới nổi, cập nhật hệ thống bảo mật và chia sẻ IOC (Indicators of Compromise) nhanh chóng.

Những hành động này vẫn là yếu tố then chốt để giảm thiểu rủi ro từ các chiến dịch phát triển và thay đổi liên tục của mối đe dọa mạng Acreed, bảo vệ hệ thống khỏi những cuộc tấn công tiềm tàng.