Một chiến dịch tấn công mạng mới đã được phát hiện, trong đó mã độc BoryptGrab chuyên đánh cắp dữ liệu đang âm thầm lây lan trên các hệ thống Windows. Chiến dịch này lợi dụng một mạng lưới các kho lưu trữ GitHub giả mạo, lừa người dùng tải xuống các công cụ phần mềm miễn phí phổ biến.

Chiến dịch được ghi nhận đã hoạt động ít nhất từ tháng 4 năm 2025. Những kẻ tấn công sử dụng các kỹ thuật thao túng công cụ tìm kiếm (SEO) để làm cho các kho lưu trữ độc hại này trông có vẻ hợp pháp. Mục tiêu là thu hút nạn nhân không nghi ngờ vào một chuỗi lây nhiễm phức tạp, cuối cùng dẫn đến việc dữ liệu nhạy cảm bị gửi đi một cách bí mật đến máy chủ của kẻ tấn công.

Mạng Lưới Kho Lưu Trữ GitHub Giả Mạo và Kỹ Thuật SEO

Kẻ tấn công đã thiết lập hơn một trăm kho lưu trữ GitHub công khai, mỗi kho giả mạo thành một trang tải xuống miễn phí cho nhiều công cụ khác nhau. Các công cụ này bao gồm cheat game, phần mềm bẻ khóa (cracked software) và các ứng dụng năng suất.

Để tăng khả năng hiển thị, các kho lưu trữ này sử dụng từ khóa được tối ưu hóa SEO trong các tệp README của chúng. Điều này giúp chúng xếp hạng gần đầu kết quả tìm kiếm, thường xuất hiện ngay cạnh các kết quả hợp pháp. Người dùng cần cẩn trọng với các phần mềm bẻ khóa có thể chứa mã độc, như đã thấy trong các trường hợp tương tự với Atomic Stealer.

Chuỗi Lây Nhiễm Phức Tạp qua Nhiều Bước Chuyển Hướng

Khi người dùng nhấp vào liên kết tải xuống trong một trong các trang này, họ sẽ được chuyển hướng qua một loạt các bước. Các bước này bao gồm các URL được mã hóa Base64 và mã hóa AES, trước khi cuối cùng đến một trang tải xuống giả mạo. Trang này sẽ tạo và cung cấp một tệp ZIP độc hại.

Các nhà phân tích của Trend Micro đã xác định chiến dịch mã độc BoryptGrab khi theo dõi các tệp ZIP đáng ngờ lưu hành. Họ đã có thể lập bản đồ toàn bộ chuỗi lây nhiễm trở lại các trang được lưu trữ trên GitHub này. Nguồn tin chi tiết có thể được tìm thấy tại nghiên cứu của Trend Micro.

Khả Năng của Mã Độc BoryptGrab và Các Biến Thể

Cuộc điều tra đã tiết lộ không chỉ một stealer duy nhất, mà là một hoạt động đa thành phần rộng lớn hơn, chạy trên các biến thể payload khác nhau. Mỗi biến thể được gắn thẻ với các tên xây dựng nội bộ như “Shrek,” “Sonic,” “Yaropolk,” và “CryptoByte”. Điều này cho thấy đây là một mối đe dọa được tổ chức và duy trì tích cực.

Mã độc BoryptGrab được xây dựng để thu thập một loạt dữ liệu nhạy cảm. Nó thu thập thông tin đăng nhập và cookie từ nhiều trình duyệt, bao gồm Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Brave, và Yandex Browser.

Ngoài ra, nó còn nhắm mục tiêu vào hơn 30 ứng dụng ví tiền điện tử trên máy tính và tiện ích mở rộng ví dựa trên trình duyệt. Các mục tiêu này bao gồm Exodus, Electrum, Ledger Live, Atomic, và Trezor Suite. Các cuộc tấn công nhắm vào ví tiền điện tử ngày càng phổ biến, đòi hỏi người dùng phải luôn cảnh giác với các rủi ro bảo mật.

Bên cạnh đó, mã độc BoryptGrab còn chụp ảnh màn hình, thu thập tệp Telegram, Discord tokens, các tệp hệ thống thông thường và thông tin người dùng. Sau đó, nó nén và âm thầm tải lên mọi thứ đến máy chủ do kẻ tấn công kiểm soát.

TunnesshClient: Cửa Sau Kỹ Thuật Cao

Một điểm đáng lo ngại đặc biệt trong chiến dịch này là TunnesshClient, một backdoor được phân phối dưới dạng tệp thực thi PyInstaller. Backdoor này xây dựng một SSH tunnel đảo ngược đến máy chủ của kẻ tấn công.

Thông qua tunnel này, kẻ tấn công có thể thực thi các lệnh shell từ xa, duyệt và truyền tệp từ máy của nạn nhân. Kẻ tấn công cũng có thể sử dụng hệ thống bị xâm nhập làm proxy SOCKS5. Các chỉ dấu kỹ thuật như bình luận mã nguồn bằng tiếng Nga và sự liên kết với các địa chỉ IP nhất định đã được ghi nhận trong quá trình phân tích mã độc.

Chi Tiết Chuỗi Lây Nhiễm của Mã Độc BoryptGrab

Quá trình lây nhiễm bắt đầu khi nạn nhân tải xuống một tệp ZIP từ một trong các trang giả mạo được lưu trữ trên GitHub. Tệp index.htm của trang này chứa các bình luận bằng tiếng Nga và chuyển hướng trình duyệt đến một trang home.html. Trang này giải mã một URL được mã hóa Base64 cứng và chuyển tiếp người dùng đến trang tải xuống giả mạo cuối cùng.

Trang này tạo ra động và cung cấp tệp ZIP độc hại được tùy chỉnh cho lượt truy cập của nạn nhân. Bên trong tệp ZIP, dropper của kẻ tấn công có thể có một số dạng khác nhau.

Các Biến Thể Dropper Phổ Biến

• Biến thể 1: Side-loading DLL
  Trong một biến thể phổ biến, một tệp thực thi trông hợp pháp sẽ side-load một tệp libcurl.dll độc hại. Tệp DLL này giải mã một payload launcher được nhúng bằng các phép toán XOR và AES-CBC trước khi kết nối với máy chủ của kẻ tấn công để tìm nạp tệp nhị phân mã độc BoryptGrab.
• Biến thể 2: PowerShell và Né Tránh Phát Hiện
  Trong một biến thể khác, một script VBS sử dụng các lệnh PowerShell bị xáo trộn để tải xuống payload. Đồng thời, nó còn thêm các ngoại lệ vào Windows Defender để ngăn phần mềm bảo mật đã cài đặt phát hiện các tệp độc hại.

Kỹ Thuật Né Tránh và Thu Thập Dữ Liệu

Khi được chạy, mã độc BoryptGrab đầu tiên kiểm tra môi trường máy ảo bằng cách quét các khóa registry và các đường dẫn tệp hệ thống cụ thể. Điều này cho phép nó tránh bị kích hoạt bên trong các sandbox phân tích bảo mật.

Nó sử dụng mã bypass Chrome App Bound Encryption, được lấy từ các kho lưu trữ GitHub công khai, để trích xuất thông tin đăng nhập trình duyệt được bảo vệ. Đây là một kỹ thuật thường được tìm thấy trong các cuộc tấn công nhắm vào các trình duyệt hiện đại. Có khoảng 23.000 kho GitHub đã bị nhắm mục tiêu trong các chiến dịch tương tự.

Sau khi thu thập tất cả dữ liệu có thể tiếp cận, nó đóng gói mọi thứ vào một kho lưu trữ và âm thầm gửi lên máy chủ của kẻ tấn công. Quá trình đánh cắp dữ liệu diễn ra một cách kín đáo và hiệu quả.

Biện Pháp Bảo Vệ và Khuyến Nghị An Toàn Thông Tin

Để giảm thiểu rủi ro từ các chiến dịch như mã độc BoryptGrab, người dùng cần tuân thủ các nguyên tắc bảo mật cơ bản.

• Chỉ nên tải xuống phần mềm từ các nguồn chính thức và đã được xác minh.
• Tránh tải xuống các công cụ miễn phí từ các kho lưu trữ GitHub không rõ nguồn gốc.
• Các đội ngũ bảo mật nên theo dõi các tác vụ được lên lịch bất thường, các thay đổi đột ngột trong cấu hình ngoại trừ của Windows Defender và lưu lượng truy cập ra ngoài bất thường đến các máy chủ không xác định.

Việc đảm bảo các công cụ bảo mật điểm cuối được cập nhật thường xuyên và xác minh kỹ lưỡng các bản tải xuống phần mềm sẽ giảm đáng kể khả năng tiếp xúc với các chiến dịch tấn công tương tự, góp phần củng cố an ninh mạng tổng thể.