Sau sự việc công khai thông tin cá nhân của các thành viên cốt cán bị cáo buộc của Lumma Stealer vào tháng trước, loại mã độc đánh cắp thông tin khét tiếng này ban đầu đã trải qua giai đoạn sụt giảm đáng kể về hoạt động, khi các khách hàng chuyển sang các nền tảng đối thủ như Vidar và StealC. Tuy nhiên, dữ liệu đo lường từ xa gần đây cho thấy sự trỗi dậy đáng lo ngại của các hoạt động của Lumma Stealer, bắt đầu từ tuần thứ ba của tháng 10 năm 2025, đi kèm với các khả năng mới tinh vi, báo hiệu sự phát triển trong cơ sở hạ tầng Command-and-Control của malware, là một mối đe dọa mạng đáng chú ý.

Sự Trỗi Dậy và Tiến Hóa của Lumma Stealer

Trend Micro, đơn vị theo dõi hoạt động của Lumma Stealer dưới tên Water Kurita, đã quan sát thấy mã độc này hiện đang sử dụng các kỹ thuật định danh trình duyệt (browser fingerprinting) như một phần trong chiến thuật C2 của mình. Phương pháp này bổ sung các giao thức giao tiếp truyền thống bằng cách thu thập dữ liệu dựa trên JavaScript và giao tiếp HTTP tinh vi.

Những hành vi mới này cho phép mã độc đánh cắp thông tin duy trì hoạt động liên tục, đánh giá môi trường nạn nhân để định hướng các hành động tiếp theo và né tránh phát hiện hiệu quả hơn so với các phiên bản trước đó. Sự phát triển này cho thấy một nỗ lực đáng kể của các nhà phát triển Lumma Stealer nhằm tăng cường khả năng phục hồi và lẩn tránh của mã độc.

Kỹ Thuật Tiêm Tiến Trình Tinh Vi

Phân tích các mẫu Lumma Stealer gần đây cho thấy mã độc này sử dụng các kỹ thuật tiêm tiến trình tinh vi. Cụ thể, nó sử dụng kỹ thuật tiêm luồng từ xa (remote thread injection) từ tiến trình MicrosoftEdgeUpdate.exe vào các tiến trình trình duyệt Chrome hợp pháp. Kỹ thuật này đã được ghi nhận và phân tích chi tiết.

Việc thực thi trong ngữ cảnh của một tiến trình trình duyệt đáng tin cậy cho phép Lumma Stealer vượt qua nhiều biện pháp kiểm soát bảo mật. Nó xuất hiện như lưu lượng truy cập trình duyệt hợp pháp đối với các hệ thống giám sát mạng. Cách tiếp cận này mang lại lợi thế tàng hình đáng kể cho mã độc, khiến việc phát hiện trở nên khó khăn hơn đáng kể đối với các giải pháp bảo mật truyền thống.

Cơ Chế Giao Tiếp Command-and-Control (C2) và Fingerprinting

Lumma Stealer hiện giao tiếp với một điểm cuối định danh chuyên dụng tại /api/set_agent trên tên miền C2 của nó. Phân tích lưu lượng mạng cho thấy các yêu cầu GET ban đầu bao gồm một định danh thập lục phân 32 ký tự duy nhất, một mã thông báo phiên (session token) để xác thực và các tham số nhận dạng trình duyệt.

Khi truy cập điểm cuối này, máy chủ C2 phản hồi bằng mã JavaScript được thiết kế để thu thập một loạt các đặc điểm hệ thống và trình duyệt mở rộng. Các đặc điểm này bao gồm:

• WebGL fingerprinting: Thông tin về cạc đồ họa.
• Canvas fingerprinting: Chữ ký hình ảnh duy nhất.
• Phân tích ngữ cảnh âm thanh (audio context analysis).
• Dữ liệu WebRTC: Chi tiết giao diện mạng.

Tập lệnh định danh này thu thập có hệ thống các thông tin hệ thống như chi tiết nền tảng, chuỗi tác nhân người dùng (user agent strings), thông số kỹ thuật phần cứng bao gồm số lõi CPU và bộ nhớ thiết bị, độ phân giải màn hình, độ sâu màu, phông chữ có sẵn và thông tin plugin trình duyệt.

Sau khi thu thập dữ liệu định danh toàn diện này, tập lệnh sẽ tuần tự hóa tất cả thông tin sang định dạng JSON và truyền ngược lại máy chủ C2 thông qua yêu cầu POST. Sau đó, nó chuyển hướng trình duyệt đến about:blank để giảm thiểu nhận biết của người dùng. Mặc dù giới thiệu khả năng định danh trình duyệt, phân tích xác nhận rằng Lumma Stealer vẫn duy trì cấu trúc giao tiếp C2 cốt lõi của mình như đã được ghi nhận trước đây.

Mã độc tiếp tục truyền các tham số C2 truyền thống bao gồm uid (định danh duy nhất cho máy khách/nhà điều hành Lumma Stealer và chiến dịch) và cid (trường tùy chọn xác định các tính năng bổ sung). Phân tích quản lý cấu hình cho thấy cách mã độc điều phối cả việc rò rỉ dữ liệu truyền thống và các hoạt động định danh mới, duy trì các cấu trúc đã thiết lập đồng thời kết hợp các chỉ thị mới cho các hoạt động lập hồ sơ trình duyệt.

Mục Đích Chiến Lược của Cách Tiếp Cận Lai

Cách tiếp cận kết hợp này phục vụ nhiều mục đích chiến lược cho các nhà điều hành Lumma Stealer. Việc lập hồ sơ hệ thống chi tiết cho phép mã độc xác định các máy ảo (VMs), sandbox và môi trường phân tích để tăng cường khả năng né tránh. Khả năng này cực kỳ quan trọng đối với các loại mã độc hiện đại để tránh bị phân tích và gỡ lỗi.

Các nhà điều hành có thể triển khai có chọn lọc các payload dựa trên hồ sơ nạn nhân và khả năng hệ thống, cho phép nhắm mục tiêu hiệu quả hơn. Bằng cách duy trì các tham số C2 đã được chứng minh, mã độc đảm bảo khả năng tương thích với cơ sở hạ tầng hiện có, trong khi việc sử dụng các tiến trình trình duyệt hợp pháp và các mẫu lưu lượng HTTP tiêu chuẩn khiến việc phát hiện trở nên khó khăn hơn đáng kể.

Tình Hình Hoạt Động của Các Nhóm Đe Dọa

Giám sát các diễn đàn ngầm cho thấy sự sụt giảm đáng kể trong sự hiện diện của các tác nhân đe dọa Lumma Stealer trong cộng đồng tội phạm mạng, mặc dù hoạt động thị trường vẫn tiếp tục với việc bán các tệp nhật ký đã đánh cắp. Sự suy thoái hoạt động được thể hiện rõ ràng trong các thực tiễn quản lý cơ sở hạ tầng, với các mẫu nhị phân mới chứa các tên miền C2 lỗi thời, bao gồm cả cơ sở hạ tầng đã bị Microsoft thu giữ (sinkholed).

Trend Micro đánh giá với mức độ tin cậy trung bình rằng các nhà điều hành Lumma Stealer đang giữ một hồ sơ thấp để tránh sự chú ý của cơ quan thực thi pháp luật và đối thủ cạnh tranh, trong khi chờ đợi cơ hội để nối lại các hoạt động quy mô đầy đủ.

Chỉ Số Nhận Dạng (IOCs) và Khuyến Nghị Phòng Thủ

Để tăng cường an ninh mạng và bảo vệ khỏi sự phát triển của Lumma Stealer, việc nhận biết và áp dụng các biện pháp phòng ngừa là vô cùng cần thiết. Trend Vision One có khả năng phát hiện và chặn các chỉ số nhận dạng cụ thể liên quan đến các chiến thuật mới của Lumma Stealer.

Các Chỉ Số Nhận Dạng (IOCs)

Mặc dù các tên miền C2 cụ thể thường thay đổi, nhưng các đặc điểm giao tiếp mạng và phương thức hoạt động của Lumma Stealer cung cấp các IOC quan trọng:

• Endpoint Fingerprinting: /api/set_agent trên các tên miền C2 đã biết hoặc chưa biết.
• Định danh mạng: Yêu cầu GET ban đầu chứa định danh thập lục phân 32 ký tự, mã thông báo phiên và tham số nhận dạng trình duyệt.
• Tiêm tiến trình: Hoạt động tiêm luồng từ MicrosoftEdgeUpdate.exe vào các tiến trình trình duyệt Chrome hợp pháp.
• Giao tiếp C2 truyền thống: Bao gồm các tham số uid và cid trong lưu lượng C2.
• Cơ sở hạ tầng C2 cũ: Các tên miền đã bị Microsoft thu giữ (tham khảo thêm từ Trend Micro).

Biện pháp Phòng Thủ và Giảm Thiểu Rủi Ro

Các tổ chức nên tăng cường nhận thức về an toàn email và thực hiện các biện pháp kiểm soát chặt chẽ để phòng chống lây nhiễm mã độc này:

• Tăng cường an toàn email: Nâng cao nhận thức của người dùng về các email lừa đảo (phishing) và các tệp đính kèm độc hại.
• Cẩn trọng với quảng cáo trực tuyến: Tránh nhấp vào các quảng cáo đáng ngờ có thể dẫn đến tải xuống mã độc.
• Kiểm soát cài đặt phần mềm: Thực thi các chính sách kiểm soát cài đặt phần mềm để ngăn chặn việc cài đặt ứng dụng không được phép.
• Cảnh giác với yêu cầu CAPTCHA bất thường: Các yêu cầu CAPTCHA không rõ ràng có thể là dấu hiệu của các trang web độc hại.
• Triển khai xác thực đa yếu tố (MFA): Áp dụng xác thực đa yếu tố trên tất cả các tài khoản quan trọng để tăng cường lớp bảo mật, ngay cả khi thông tin đăng nhập bị đánh cắp.
• Giám sát lưu lượng mạng: Triển khai các giải pháp giám sát mạng tiên tiến để phát hiện các mẫu giao tiếp C2 bất thường.
• Cập nhật hệ thống và phần mềm thường xuyên: Đảm bảo tất cả hệ điều hành, trình duyệt và phần mềm bảo mật được cập nhật phiên bản mới nhất với các bản vá bảo mật.

Việc kết hợp các biện pháp này sẽ giúp tăng cường khả năng phòng thủ của hệ thống trước Lumma Stealer và các mối đe dọa mạng tương tự.