Một mối đe dọa mạng tinh vi dựa trên Python mang tên XillenStealer đã xuất hiện, được thiết kế để đánh cắp dữ liệu hệ thống nhạy cảm, thông tin đăng nhập trình duyệt và dữ liệu ví tiền điện tử từ người dùng Windows. Mã độc này đại diện cho một nguy cơ đáng kể trong bối cảnh bảo mật hiện nay.

Kiến trúc Xây dựng và Triển khai Mã độc XillenStealer

XillenStealer hoạt động thông qua một framework xây dựng toàn diện có tên “XillenStealer Builder V3.0”. Framework này được trang bị giao diện người dùng đồ họa (GUI) Tkinter dựa trên Python, cho phép các tác nhân đe dọa cấu hình và tùy chỉnh các cuộc tấn công với chuyên môn kỹ thuật tối thiểu.

Builder hỗ trợ xác thực mật khẩu thông qua kiểm tra băm SHA-256, đồng thời cho phép người điều hành cấu hình các kênh lấy cắp dữ liệu thông qua tích hợp bot Telegram.

Thiết kế mô-đun của mã độc cho phép nhắm mục tiêu có chọn lọc vào các ứng dụng và dịch vụ cụ thể. Các mục tiêu bao gồm Discord, Steam, các ví tiền điện tử, phiên làm việc Telegram và các trình khởi chạy game.

Các nhà nghiên cứu bảo mật tại Cyfirma đã xác định rằng mã độc nguồn mở này có sẵn công khai trên GitHub, giúp tội phạm mạng ở mọi cấp độ kỹ năng dễ dàng tiếp cận. Chi tiết về XillenStealer được cung cấp bởi Cyfirma.

Sự linh hoạt này cho phép kẻ tấn công điều chỉnh các chiến dịch của mình dựa trên hồ sơ nạn nhân cụ thể hoặc các mục tiêu tổ chức.

Cơ chế Hoạt động và Tấn công mạng của XillenStealer

Kỹ thuật Chống Phân tích và Né tránh Sandbox

XillenStealer tích hợp nhiều lớp kỹ thuật chống phân tích và né tránh sandbox để tránh bị phát hiện. Mã độc này thực hiện các kiểm tra toàn diện đối với môi trường ảo hóa.

Các kiểm tra bao gồm xác định tiền tố MAC của máy ảo (VM), các định danh nhà sản xuất đáng ngờ như VMware, VirtualBox, QEMU, các quy trình gỡ lỗi và các driver liên quan đến sandbox như vboxguest.sys.

Cơ chế Duy trì Quyền truy cập (Persistence)

Để duy trì quyền truy cập, mã độc này thiết lập các tác vụ theo lịch trình trên hệ thống Windows dưới vỏ bọc “System Maintenance Task”. Trên hệ thống Linux, nó tạo các cron job, đảm bảo mã độc được thực thi sau khi hệ thống khởi động lại.

XillenStealer cũng cố gắng tiêm tiến trình vào các tiến trình Windows hợp pháp như explorer.exe, mặc dù việc triển khai cụ thể này có thể có hiệu quả hạn chế do các giới hạn kỹ thuật.

Khả năng Thu thập Dữ liệu Toàn diện

Khả năng thu thập dữ liệu của mã độc này rất rộng và được thiết kế một cách có hệ thống. XillenStealer nhắm mục tiêu vào các thông tin đăng nhập được lưu trữ trong trình duyệt từ các trình duyệt dựa trên Chromium (Chrome, Edge, Brave, Vivaldi, Opera) và Firefox.

Mã độc này truy cập trực tiếp các cơ sở dữ liệu SQLite chứa dữ liệu đăng nhập và lịch sử duyệt web. Nó sử dụng các quy trình giải mã phức tạp để khôi phục thông tin đăng nhập dạng văn bản gốc từ bộ nhớ trình duyệt đã mã hóa.

Ngoài dữ liệu trình duyệt, XillenStealer còn nhắm mục tiêu cụ thể vào các ví tiền điện tử bao gồm Exodus, AtomicWallet, Coinomi và Electrum, để trích xuất khóa riêng tư và các tệp ví.

Mã độc cũng thu thập mã thông báo xác thực Discord, thông tin đăng nhập Steam, các tệp phiên làm việc Telegram và cấu hình trình khởi chạy game. Từ đó, tạo ra một hồ sơ toàn diện về hoạt động của nạn nhân.

Kênh Lấy cắp Dữ liệu (Exfiltration)

Việc lấy cắp dữ liệu xảy ra thông qua tích hợp bot Telegram. Mã độc tạo ra cả báo cáo HTML và văn bản chứa thông tin bị đánh cắp giống hệt nhau.

Báo cáo HTML cung cấp một bảng điều khiển dựa trên web có cấu trúc để xem có tổ chức, trong khi phiên bản văn bản cung cấp khả năng truy cập văn bản thuần cho các tác nhân đe dọa.

Để xử lý lượng dữ liệu lớn, XillenStealer bao gồm chức năng chia nhỏ tệp. Chức năng này chia các kho lưu trữ quá khổ thành các phân đoạn nhỏ hơn 45MB để truyền tải đáng tin cậy qua Telegram.

Mỗi phân đoạn được tải lên tự động với các chú thích nhận dạng và được xóa khỏi hệ thống của nạn nhân sau khi truyền thành công.

Phân tích Xuất xứ và Các Tác nhân Đe dọa

Các nhà nghiên cứu bảo mật đã quy kết XillenStealer cho các tác nhân đe dọa nói tiếng Nga, hoạt động dưới thương hiệu “Xillen Killers”. Mã độc này được phát hiện trên GitHub dưới tài khoản người dùng “BengaminButton”.

Văn bản giao diện người dùng (UI) và các bình luận trong mã được viết bằng tiếng Nga, cho thấy mạnh mẽ rằng các nhà phát triển là người nói tiếng Nga.

Tác nhân đe dọa đằng sau “BengaminButton” tự nhận là một nhà phát triển full-stack 15 tuổi và chuyên gia kiểm thử xâm nhập với chuyên môn đa ngôn ngữ lập trình.

Nhóm này điều hành một diễn đàn tập trung tại xillenkillers[.]ru, cung cấp nhiều công cụ tấn công khác nhau, bao gồm các nền tảng DDoS, framework khai thác và tiện ích tấn công mạng. Điều này đặt ra mối lo ngại lớn về an toàn thông tin cho nhiều tổ chức.

Chỉ số Nhận dạng Sự cố (IOCs)

Các chỉ số nhận dạng sự cố liên quan đến XillenStealer bao gồm:

• Website:xillenkillers[.]ru

Hàm ý và Khuyến nghị Phòng ngừa

Sự sẵn có của XillenStealer dưới dạng mã nguồn mở đã giảm đáng kể rào cản gia nhập cho tội phạm mạng. Điều này cho phép ngay cả các tác nhân có kỹ năng thấp cũng có thể triển khai các chiến dịch đánh cắp thông tin tinh vi.

Khả năng hoạt động đa nền tảng của mã độc, kết hợp với thiết kế mô-đun và giao diện builder chuyên nghiệp, đại diện cho một sự phát triển đáng lo ngại trong việc phân phối mã độc hàng hóa.

Các tổ chức nên triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) toàn diện, có khả năng xác định các nỗ lực tiêm tiến trình, các mẫu truy cập cơ sở dữ liệu trình duyệt bất thường và các giao tiếp mạng trái phép đến các dịch vụ Telegram.

Đào tạo nâng cao nhận thức bảo mật định kỳ, tập trung vào các rủi ro khi tải xuống phần mềm từ các nguồn không chính thức, vẫn là yếu tố then chốt để ngăn chặn các nhiễm trùng ban đầu.

Việc phát hiện ra XillenStealer làm nổi bật sự chuyên nghiệp hóa liên tục của các hệ sinh thái tội phạm mạng. Trong đó, các tác nhân đe dọa vận hành các doanh nghiệp tội phạm có cấu trúc, hướng dịch vụ với hỗ trợ khách hàng, tài liệu kỹ thuật và các mô hình kiếm tiền dựa trên đăng ký.

Xu hướng này cho thấy mã độc đánh cắp thông tin sẽ tiếp tục phát triển về độ tinh vi, đồng thời trở nên dễ tiếp cận hơn với nhiều tác nhân tội phạm mạng hơn.