Các nhà nghiên cứu tại Netskope đã phát hiện một loại mã độc RAT (Remote Access Trojan) mới tinh vi được viết bằng Python. mối đe dọa mạng này giả mạo ứng dụng Minecraft hợp pháp tên là “Nursultan Client”, vốn phổ biến trong cộng đồng game thủ Đông Âu và Nga. Phát hiện này nhấn mạnh xu hướng đáng lo ngại khi tội phạm mạng nhắm mục tiêu vào cộng đồng game thủ thông qua các bản mod, mã gian lận (cheats) và công cụ giả mạo độc hại.

Phát hiện và Đặc điểm Kỹ thuật Ban đầu

Mã độc RAT Python này được phát hiện trong quá trình săn lùng mối đe dọa, ban đầu là một tệp thực thi có kích thước 68.5 MB, được biên dịch bằng PyInstaller. Mặc dù PyInstaller là một công cụ hợp pháp, các tác giả mã độc thường lợi dụng nó để đóng gói các script Python độc hại cùng các thư viện phụ thuộc vào một tệp độc lập.

Kỹ thuật Giả mạo và Lây nhiễm

Khi được thực thi, mã độc RAT ngay lập tức sử dụng chiến thuật lừa đảo. Nó hiển thị một thanh tiến trình cài đặt giả mạo với tên “Nursultan Client” nhằm đánh lừa người dùng rằng họ đang cài đặt phần mềm hợp pháp.

Một số cơ chế duy trì quyền truy cập (persistence) và đánh cắp thông tin đăng nhập chỉ dành riêng cho Windows. Tuy nhiên, các tính năng giao tiếp C2 và giám sát cốt lõi của mã độc này hoạt động trên các hệ thống Windows, Linux và macOS, mở rộng đáng kể phạm vi nạn nhân tiềm năng của nó.

Việc kẻ tấn công sử dụng tên “Nursultan Client” trong cả thông báo cài đặt giả mạo và các khóa registry duy trì quyền truy cập cho thấy một chiến lược kỹ thuật xã hội có chủ ý, được thiết kế đặc biệt để đánh lừa cộng đồng game thủ.

Kỹ thuật Tấn công và Cơ chế Hoạt động của Mã Độc RAT

Cơ sở hoạt động của mã độc RAT này hoàn toàn dựa vào Telegram Bot API để thực thi lệnh và đánh cắp dữ liệu (data exfiltration). Phương pháp này cho phép kẻ tấn công ẩn giấu các hoạt động độc hại của mình trong một dịch vụ nhắn tin tập trung vào quyền riêng tư, khiến việc phát hiện trở nên khó khăn hơn đối với các đội ngũ bảo mật.

Chỉ những kẻ tấn công được ủy quyền mới có thể gửi lệnh tới các máy bị nhiễm, tạo ra một môi trường kiểm soát để khởi động các hoạt động có mục tiêu.

Thông tin Xác thực Nhúng Cứng và C2 Telegram

Các nhà nghiên cứu bảo mật đã phát hiện thông tin xác thực Telegram nhúng cứng — bao gồm bot token và IDs người dùng được ủy quyền — trong tệp thực thi của mã độc RAT. Đây là một điểm yếu trong thiết kế của kẻ tấn công, mặc dù nó giúp tạo ra một kênh C2 ẩn danh và khó theo dõi hơn.

Chức năng Điều khiển và Thu thập Dữ liệu

Kho vũ khí của mã độc RAT bao gồm nhiều khả năng nguy hiểm có thể truy cập thông qua các lệnh văn bản đơn giản:

• Lệnh /tokens: Đặc biệt nhắm mục tiêu vào các token xác thực Discord. Mã độc này quét các tệp lưu trữ cục bộ của client Discord và tìm kiếm trong các trình duyệt web phổ biến như Chrome, Edge, Firefox, Opera và Brave. Các token Discord bị đánh cắp có thể bị lạm dụng để chiếm quyền tài khoản người dùng và xâm phạm các cộng đồng game.
• Lệnh /info: Thực hiện trinh sát hệ thống chi tiết, thu thập các thông tin như tên máy tính, tên người dùng, phiên bản hệ điều hành, thông tin bộ xử lý, dữ liệu sử dụng bộ nhớ và ổ đĩa, cùng với địa chỉ IP cục bộ và bên ngoài. Các hồ sơ hệ thống được định dạng bằng tiếng Nga và bao gồm chữ ký của tác giả mã độc “by fifetka”.
• Lệnh /screenshot: Cho phép kẻ tấn công chụp ảnh màn hình máy tính để bàn.
• Lệnh /camera: Cho phép kẻ tấn công chụp ảnh từ webcam.

Các hình ảnh và dữ liệu này được truyền trực tiếp qua kênh Telegram, cung cấp cho kẻ tấn công khả năng giám sát mạnh mẽ.

Khả năng Adware

Ngoài các chức năng gián điệp, mã độc RAT này còn có khả năng adware. Nó cho phép kẻ tấn công mở các URL tùy ý trong trình duyệt của nạn nhân hoặc hiển thị các tin nhắn pop-up và hình ảnh. Điều này có thể tạo điều kiện cho các cuộc tấn công lừa đảo (phishing) hoặc quảng cáo độc hại, gia tăng rủi ro bảo mật cho người dùng cuối.

Phân tích Kỹ thuật và Mức độ Tinh vi của Mã Độc RAT

Sự vắng mặt của các kỹ thuật chống phân tích nâng cao, mã hóa mã tùy chỉnh và cấu trúc cấp phép “ALLOWED_USERS” nhúng cứng cho thấy đây có thể là một hoạt động Malware-as-a-Service (MaaS). Điều này ám chỉ rằng nó được thiết kế cho các tác nhân đe dọa cấp thấp hơn, chứ không phải một nhóm tấn công dai dẳng nâng cao (APT).

Mặc dù có nhiều tính năng phong phú, phân tích cho thấy tác giả mã độc thiếu kinh nghiệm và kỹ thuật tinh vi. Các cơ chế duy trì quyền truy cập bị lỗi nhiều khả năng sẽ thất bại do cấu trúc đường dẫn Python không chính xác và sự phụ thuộc vào các thư mục tạm thời của PyInstaller. Đây là một điểm yếu có thể được các nhà nghiên cứu khai thác.

Chỉ số Nhận diện Sự Thỏa hiệp (IOCs) và Dữ liệu Bị Nhắm Mục tiêu

Mặc dù không có các IOC truyền thống như hash file hay địa chỉ IP C2 cụ thể, mã độc RAT này tập trung vào việc thu thập các loại dữ liệu nhạy cảm sau đây từ hệ thống bị xâm nhập:

• Token xác thực Discord (từ client Discord và các trình duyệt Chrome, Edge, Firefox, Opera, Brave).
• Thông tin hệ thống: tên máy tính, tên người dùng, phiên bản hệ điều hành, thông tin bộ xử lý (CPU), dữ liệu sử dụng bộ nhớ (RAM), dữ liệu sử dụng ổ đĩa, địa chỉ IP cục bộ và địa chỉ IP bên ngoài.
• Hình ảnh chụp màn hình máy tính để bàn.
• Ảnh chụp từ webcam.

Việc theo dõi sự xuất hiện của các dữ liệu này trong lưu lượng mạng ra ngoài hoặc trên các tài khoản trực tuyến có thể là dấu hiệu của một hệ thống đã bị xâm nhập, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Biện pháp Giảm thiểu và Phòng ngừa cho An ninh Mạng

Để giảm thiểu rủi ro từ mã độc RAT đang nổi lên này và tăng cường an ninh mạng, các tổ chức và cá nhân cần thực hiện các biện pháp sau:

• Giám sát lưu lượng mã hóa: Triển khai khả năng hiển thị sâu vào lưu lượng mã hóa để phát hiện các giao tiếp đáng ngờ với Telegram Bot API.
• Giáo dục người dùng: Đào tạo người dùng về tầm quan trọng của việc xác minh tính xác thực của phần mềm trước khi cài đặt, đặc biệt là các ứng dụng liên quan đến cộng đồng game. Luôn tải xuống phần mềm từ các nguồn chính thức và đáng tin cậy.
• Cập nhật hệ thống và phần mềm: Đảm bảo hệ điều hành và tất cả phần mềm được cập nhật liên tục với các bản vá bảo mật mới nhất để khắc phục các lỗ hổng tiềm ẩn.
• Sử dụng giải pháp bảo mật Endpoint: Triển khai các giải pháp bảo mật endpoint mạnh mẽ có khả năng phát hiện hành vi độc hại, ngay cả khi mã độc được đóng gói bằng các công cụ hợp pháp như PyInstaller.