Inf0s3c Stealer là một mã độc đánh cắp thông tin dựa trên Python, được thiết kế tinh vi để thu thập dữ liệu hệ thống và người dùng từ các máy chủ Windows. Mã độc này thể hiện khả năng trinh sát máy chủ, tổng hợp dữ liệu, đóng gói an toàn và tự động thực hiện exfiltration, biến nó thành một công cụ mạnh mẽ cho các cuộc tấn công đánh cắp dữ liệu mục tiêu.

Phân tích Kỹ thuật Mã độc Inf0s3c Stealer

Mã độc Inf0s3c Stealer là một mẫu Portable Executable (PE) 64-bit có kích thước khoảng 6.8 MB. Nó được nén bằng UPX 5.02 và sau đó đóng gói qua PyInstaller, che giấu mã bytecode Python và các tài nguyên nhúng.

Kiến trúc và Kỹ thuật Đóng gói

Quá trình đóng gói kép bằng UPX và PyInstaller giúp Inf0s3c Stealer ẩn chứa các thư viện và script Python trong lớp phủ của nó. Bằng cách sử dụng công cụ giải nén PyInstaller, các nhà phân tích có thể trích xuất các tệp .pyc và tài nguyên được nhúng.

Bảng nhập khẩu (import table) của mẫu liệt kê các chức năng từ năm danh mục khác nhau, cho thấy việc nhập khẩu một bộ API Windows toàn diện. Các API này được sử dụng để liệt kê tiến trình, điều hướng thư mục, thao tác bộ nhớ và quản lý cài đặt bảo mật.

Việc sử dụng PyInstaller cho phép mã độc dễ dàng thực thi các tác vụ phức tạp trên hệ thống Windows, đồng thời gây khó khăn cho quá trình phân tích tĩnh. Để hiểu rõ hơn về kỹ thuật đóng gói tương tự, có thể tham khảo các bài viết về phân tích mã độc Python được đóng gói. Một ví dụ về phân tích tương tự có thể được tìm thấy tại nguồn đáng tin cậy như Cyfirma: Unveiling a Python Stealer: Inf0s3c Stealer.

Quy trình Thu thập Dữ liệu của Inf0s3c Stealer

Khi được thực thi, tệp Build.exe của Inf0s3c Stealer sẽ âm thầm khởi chạy các lệnh PowerShell và CMD để thu thập thông tin.

Thu thập Thông tin Hệ thống

Mã độc sử dụng các lệnh CLI chuẩn của Windows để thu thập thông tin chi tiết về hệ thống. Các lệnh này bao gồm:

• systeminfo: Thu thập các định danh máy chủ và chi tiết CPU.
• getmac: Lấy cấu hình mạng (địa chỉ MAC).
• tasklist: Liệt kê các tiến trình đang chạy trên hệ thống.

Kết quả của các lệnh này được lưu trữ dưới dạng tệp văn bản trong một không gian làm việc tạm thời.

systeminfo > %TEMP%Systemsysteminfo.txt
getmac > %TEMP%Systemnetwork_config.txt
tasklist > %TEMP%Systemrunning_processes.txt

Thu thập Dữ liệu Người dùng và Chụp Màn hình

Ngoài thông tin hệ thống, Inf0s3c Stealer còn tập trung vào dữ liệu nhạy cảm của người dùng:

• Nó duyệt qua các thư mục người dùng quan trọng như Desktop, Documents, Pictures và Downloads.
• Mã độc chụp ảnh màn hình dưới dạng tệp PNG.
• Nó liệt kê nội dung thư mục thông qua lệnh tree /A /F để có cái nhìn tổng quan về cấu trúc tệp.

Tất cả các tài liệu thu thập được này đều được tổ chức vào các thư mục con (Credentials, Directories, System) trong một không gian làm việc tạm thời tại %TEMP%.

Kỹ thuật Đóng gói và Mã hóa

Sau khi thu thập tất cả dữ liệu, mã độc sẽ biên dịch chúng vào một không gian làm việc tạm thời và đóng gói mọi thứ thành một tệp lưu trữ RAR được bảo vệ bằng mật khẩu. Một phần logic được trích xuất cho thấy việc sử dụng rar.exe để tạo tệp lưu trữ này.

Mật khẩu mặc định cho tệp RAR này là “blank123”, khẳng định thiết kế đóng gói an toàn của mã độc nhằm bảo vệ dữ liệu bị đánh cắp trước khi exfiltration.

Kênh Phân tán Dữ liệu (Exfiltration)

Bước cuối cùng trong chuỗi tấn công của Inf0s3c Stealer là tự động exfiltrate tệp lưu trữ RAR. Mã độc kết nối tới một webhook hoặc bot Discord có tên “Blank Grabber” để tải tệp lưu trữ lên, hoàn tất quá trình exfiltration tự động.

Kênh exfiltration dựa trên Discord này phản ánh xu hướng các mã độc hiện đại sử dụng các nền tảng truyền thông hợp pháp để che giấu hoạt động độc hại và né tránh phát hiện.

Đặc điểm Kỹ thuật và Mối liên hệ với Các Mã độc Khác

Inf0s3c Stealer thể hiện kiến trúc mô-đun, các quy trình che giấu (nén Base64, tái cấu trúc khi chạy) và khả năng exfiltration tự động qua Discord. Những kỹ thuật này phản ánh các phương pháp đã được thấy trong các dự án khác của cùng một nhà phát triển, chẳng hạn như Umbral-Stealer.

Khả năng bỏ qua các biện pháp phòng thủ, duy trì tính dai dẳng (persistence) và tự xóa (self-delete) của mã độc nhấn mạnh một xu hướng chung đối với các mã độc Python có khả năng thích ứng cao. Đây là một mối đe dọa đáng kể đối với an ninh mạng hiện nay, dẫn đến các rủi ro bảo mật nghiêm trọng.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Để chống lại các mối đe dọa như Inf0s3c Stealer và bảo vệ hệ thống khỏi rò rỉ dữ liệu, các nhóm bảo mật cần triển khai một chiến lược phòng thủ đa lớp.

Tăng cường Bảo mật Endpoint

Củng cố bảo vệ endpoint là bước đầu tiên và quan trọng nhất. Điều này bao gồm:

• Triển khai các giải pháp EDR (Endpoint Detection and Response) mạnh mẽ.
• Đảm bảo tất cả các hệ thống được cập nhật bản vá bảo mật mới nhất.
• Sử dụng phần mềm chống virus/malware tiên tiến với khả năng phát hiện dựa trên hành vi.
• Thực hiện kiểm soát ứng dụng nghiêm ngặt để hạn chế việc thực thi các tệp đáng ngờ.

Một chiến lược bảo mật endpoint toàn diện có thể ngăn chặn Inf0s3c Stealer thực thi và thu thập dữ liệu.

Giám sát Lưu lượng Mạng

Triển khai giám sát lưu lượng mạng đi (egress monitoring) là cần thiết để gắn cờ các hoạt động Discord bất thường. Bất kỳ kết nối nào đến các máy chủ Discord không được ủy quyền hoặc lưu lượng dữ liệu lớn qua kênh này đều có thể là dấu hiệu của exfiltration.

Các hệ thống Phát hiện Xâm nhập (IDS) và tường lửa thế hệ mới (NGFW) cần được cấu hình để theo dõi và cảnh báo về các kết nối đáng ngờ tới các dịch vụ đám mây công cộng hoặc các kênh truyền thông không được kiểm soát.

Chia sẻ Threat Intelligence

Việc tham gia chia sẻ thông tin tình báo về mối đe dọa (threat intelligence sharing) giúp các tổ chức dự đoán và ứng phó với các biến thể mã độc mới. Bằng cách cập nhật thông tin về các kỹ thuật, công cụ và quy trình (TTPs) của các tác nhân đe dọa, các đội bảo mật có thể chủ động điều chỉnh biện pháp phòng thủ của mình.

Nâng cao nhận thức cho người dùng về các mối đe dọa lừa đảo (phishing) và kỹ thuật xã hội cũng là một phần quan trọng để ngăn chặn các cuộc tấn công khởi đầu việc lây nhiễm Inf0s3c Stealer.