Cảnh báo: Mã độc đánh cắp thông tin PureLog Stealer tấn công tinh vi

Một chiến dịch mã độc đánh cắp thông tin mới đang nhắm mục tiêu vào các tổ chức thuộc nhiều lĩnh vực khác nhau như y tế, chính phủ, giáo dục và khách sạn. Chiến dịch này sử dụng các thông báo vi phạm bản quyền được ngụy trang tinh vi để phát tán PureLog Stealer, một loại mã độc đánh cắp thông tin mạnh mẽ.

Chiến dịch được phân tích lần đầu vào tháng 3 năm 2026, lừa nạn nhân thực thi một tệp tin độc hại trông giống như một tài liệu pháp lý hợp pháp. Khi được mở, tệp tin này kích hoạt một chuỗi các sự kiện phức tạp và âm thầm, dẫn đến việc dữ liệu nhạy cảm bị đánh cắp khỏi máy của nạn nhân.

Nội dung

Giới thiệu về PureLog Stealer và Cơ chế Phân phối

Kỹ thuật Xã hội và Mục tiêu Lừa đảo

Phân tích Kỹ thuật Chuỗi Tấn công PureLog Stealer

Chi tiết Luồng Thực thi Mã độc

Kỹ thuật Vượt Qua Phòng Ngự và Rò Rỉ Dữ liệu

Chỉ số Nhận dạng Thỏa hiệp (IOCs) và Khuyến nghị Phòng thủ

Indicators of Compromise (IOCs)

Biện pháp Bảo vệ và An ninh Mạng

Giới thiệu về PureLog Stealer và Cơ chế Phân phối

PureLog Stealer là một loại mã độc đánh cắp thông tin được biết đến với khả năng thu thập dữ liệu đăng nhập trình duyệt, dữ liệu ví tiền điện tử, dữ liệu tiện ích mở rộng trình duyệt và thông tin hệ thống chung. Nó được phân loại là một công cụ có chi phí thấp và dễ sử dụng, điều này cho phép ngay cả những tác nhân đe dọa ít kỹ năng hơn cũng có thể triển khai.

Chiến dịch này tận dụng các email lừa đảo với các liên kết tải xuống độc hại, thay vì các tệp đính kèm trực tiếp, để phân phối các mồi nhử cụ thể theo ngôn ngữ. Các biến thể bằng tiếng Đức nhắm mục tiêu vào đối tượng nói tiếng Đức, trong khi các phiên bản tiếng Anh nhắm mục tiêu vào các khu vực khác.

Các nhà nghiên cứu tại Trend Micro đã xác định rằng chiến dịch này không dựa vào các lỗ hổng phần mềm hay khai thác zero-day. Thay vào đó, nó phụ thuộc hoàn toàn vào kỹ thuật xã hội, thuyết phục người dùng tự chạy một tệp tin được ngụy trang dưới dạng khiếu nại bản quyền. Để biết thêm chi tiết, tham khảo báo cáo: Copyright Lures Mask a Multi-Stage PureLog Stealer Attack.

Kỹ thuật Xã hội và Mục tiêu Lừa đảo

Tệp thực thi độc hại mang các tên như “Documentation on Intellectual Property Rights Violations.exe”, khiến nó trông có vẻ hợp lệ đối với người nhận không nghi ngờ. Cách tiếp cận này làm cho chiến dịch trở nên đặc biệt nguy hiểm vì việc quản lý bản vá lỗi thông thường không thể ngăn chặn nó hoàn toàn.

Chiến dịch đã hoạt động mạnh nhất đối với các tổ chức ở một số quốc gia, với các nạn nhân bổ sung được quan sát thấy ở các khu vực khác. Các ngành công nghiệp bị nhắm mục tiêu bao gồm y tế, chính phủ, khách sạn và giáo dục. Đây là những lĩnh vực thường xuyên xử lý các thông báo pháp lý và tài liệu tuân thủ, làm cho định dạng mồi nhử bản quyền trở nên rất đáng tin cậy.

Việc nhắm mục tiêu có chọn lọc và phân phối cục bộ cho thấy một hoạt động có cấu trúc, thay vì một chiến dịch spam hàng loạt ngẫu nhiên.

Phân tích Kỹ thuật Chuỗi Tấn công PureLog Stealer

Điều làm cho mối đe dọa này nổi bật là mức độ tinh vi kỹ thuật được tích hợp trong chuỗi phân phối của nó. Mã độc đánh cắp thông tin này sử dụng các tải trọng được mã hóa, truy xuất khóa giải mã từ xa và thực thi hoàn toàn trong bộ nhớ. Điều này để lại rất ít dấu vết pháp y trên các máy bị xâm nhập.

Các công cụ phát hiện điểm cuối dựa vào việc giám sát tạo tệp hầu như không tìm thấy gì để gắn cờ. Sự vắng mặt của các tệp trên đĩa là một thách thức lớn đối với các giải pháp bảo mật truyền thống.

Chi tiết Luồng Thực thi Mã độc

Khi nạn nhân thực thi tệp mồi nhử độc hại, một trình thông dịch lệnh sẽ khởi chạy âm thầm trong nền. Để giữ cho người dùng bận rộn, một tệp PDF mồi nhử vô hại ngay lập tức mở ra trên màn hình.

Trong khi đó, mã độc đánh cắp thông tin sẽ liên hệ với cơ sở hạ tầng do kẻ tấn công kiểm soát để tải xuống một kho lưu trữ được mã hóa ngụy trang dưới dạng tệp PDF có tên invoice.pdf. Điều đặc biệt là, thay vì nhúng mật khẩu giải mã bên trong mã độc đánh cắp thông tin, những kẻ tấn công truy xuất nó từ xa từ một điểm cuối máy chủ riêng biệt trong thời gian chạy. Thiết kế này khiến việc phân tích ngoại tuyến gần như không thể, đồng thời cho phép kẻ tấn công kiểm soát hoặc hủy bỏ từng lần lây nhiễm từ xa.

Một tệp thực thi WinRAR đã được đổi tên, ngụy trang thành tệp hình ảnh PNG, sau đó sử dụng mật khẩu đã truy xuất để giải nén tải trọng thực sự. Nội dung được giải nén bao gồm một trình thông dịch Python đã được đổi tên thành svchost.exe và một tập lệnh Python bị làm rối mã mạnh mẽ có tên instructions.pdf.

Kỹ thuật Vượt Qua Phòng Ngự và Rò Rỉ Dữ liệu

Tập lệnh Python đầu tiên vượt qua Giao diện quét chống phần mềm độc hại (AMSI) của Windows Defender bằng cách vá bộ nhớ trực tiếp, ngăn hệ thống quét những gì sẽ xảy ra sau đó. Sau đó, nó thiết lập duy trì trong registry dưới khóa HKCU\Run\SystemSettings, đảm bảo mã độc đánh cắp thông tin tự động khởi động lại mỗi khi người dùng đăng nhập.

Tập lệnh cũng chụp một ảnh chụp màn hình toàn màn hình, thu thập tên máy chủ, tên người dùng và tên sản phẩm chống vi-rút đã cài đặt. Cuối cùng, tất cả thông tin này được gửi đến máy chủ C2 (Command-and-Control) thông qua yêu cầu HTTPS POST. Hai tệp tải .NET giống hệt nhau sau đó giải mã và tải PureLog Stealer trực tiếp vào bộ nhớ, không để lại bất kỳ tệp nào trên đĩa để các công cụ chống vi-rút tìm thấy. Đây là một ví dụ điển hình của tấn công fileless, làm cho việc phát hiện trở nên cực kỳ khó khăn với các giải pháp bảo mật dựa trên chữ ký truyền thống.

Chỉ số Nhận dạng Thỏa hiệp (IOCs) và Khuyến nghị Phòng thủ

Để bảo vệ hệ thống khỏi các mối đe dọa như PureLog Stealer và các chiến dịch tấn công lừa đảo tương tự, cần triển khai các biện pháp phòng ngừa và phát hiện đa lớp.

Indicators of Compromise (IOCs)

Dựa trên phân tích, các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn chiến dịch mã độc đánh cắp thông tin này:

Tên tệp độc hại:
- Documentation on Intellectual Property Rights Violations.exe
- invoice.pdf (là kho lưu trữ được mã hóa)
- svchost.exe (trình thông dịch Python đã đổi tên)
- instructions.pdf (tập lệnh Python bị làm rối mã)
Khóa Registry:
- HKCU\Run\SystemSettings
Hành vi đáng ngờ:
- Quá trình Python hoặc WinRAR thực thi từ các đường dẫn thư mục không chuẩn.
- Các kết nối mạng ra bên ngoài không xác định qua HTTPS POST tới các máy chủ C2.
- Hành vi vá bộ nhớ (memory patching) không mong muốn.

Biện pháp Bảo vệ và An ninh Mạng

Các tổ chức nên đào tạo nhân viên cẩn trọng với các email không mong đợi về việc vi phạm bản quyền, đặc biệt là những email có chứa liên kết tải xuống. Đây là tuyến phòng thủ đầu tiên quan trọng chống lại các cuộc tấn công lừa đảo dựa trên kỹ thuật xã hội.

Các nhóm bảo mật cần giám sát các khóa Registry Run để tìm các mục nhập bất thường. Đồng thời, theo dõi các quá trình Python hoặc WinRAR đang thực thi từ các đường dẫn thư mục không chuẩn. Việc chặn các kết nối ra bên ngoài tới các tên miền độc hại đã biết cũng là một biện pháp cần thiết.

Các công cụ phát hiện hành vi và đo từ xa mạng là rất cần thiết, vì các phần mềm chống vi-rút dựa trên chữ ký truyền thống có thể bỏ qua hoàn toàn chiến dịch này do thiết kế thực thi không tệp của nó. Việc tăng cường khả năng phát hiện xâm nhập dựa trên hành vi và phân tích luồng mạng có thể giúp xác định các hoạt động đáng ngờ mà không dựa vào chữ ký tĩnh.