Mã độc Infostealer CharlieKirk Grabber: Nguy hiểm khôn lường

Gần đây, một biến thể mã độc infostealer mới dựa trên Python có tên CharlieKirk Grabber đã được phát hiện. Mã độc này tập trung vào việc nhắm mục tiêu vào các hệ thống Windows, với mục tiêu chính là đánh cắp dữ liệu nhạy cảm như thông tin đăng nhập đã lưu, cookie trình duyệt và dữ liệu phiên hoạt động.

Phương thức hoạt động của CharlieKirk Grabber được mô tả là kiểu “smash-and-grab”. Mã độc khởi chạy nhanh chóng, thu thập bất kỳ dữ liệu nhạy cảm nào tìm thấy và biến mất trước khi người dùng kịp nhận ra bất kỳ điều bất thường nào trên hệ thống của họ.

Cơ chế lây nhiễm và cấu trúc của CharlieKirk Grabber

Đóng gói và kỹ thuật phân phối mã độc

Mã độc này thường xuất hiện dưới dạng một tệp thực thi Windows (Windows executable). Nó được đóng gói bằng công cụ PyInstaller, một tiện ích giúp gom tất cả mã Python vào một tệp tự chứa duy nhất.

Ưu điểm của phương pháp đóng gói này là mã độc có thể chạy trên máy tính mục tiêu mà không yêu cầu cài đặt Python trước đó. Điều này giúp đơn giản hóa quá trình lây nhiễm và tăng khả năng thành công của cuộc tấn công.

Để tăng hiệu quả lây nhiễm, CharlieKirk Grabber sử dụng hình ảnh chính trị và tên gọi từ Turning Point USA để khai thác các kỹ thuật kỹ thuật xã hội (social engineering). Mã độc thường được phát tán thông qua các kênh phổ biến như:

• Email lừa đảo (phishing emails).
• Các gói phần mềm lậu (cracked software packages).
• Tải xuống các công cụ gian lận trong trò chơi (game cheat downloads).
• Các mồi nhử dựa trên mạng xã hội (social media-based lures).

Các nhà nghiên cứu tại Cyfirma đã xác định và phân tích mã độc infostealer này, lưu ý rằng nó sử dụng cấu trúc dạng trình tạo (builder-style structure). Cấu trúc này làm cho mã độc trở nên mô-đun hóa, cho phép kẻ tấn công linh hoạt cấu hình và tùy chỉnh.

Điều này có nghĩa là bất kỳ ai vận hành mã độc đều có thể tự do cấu hình cài đặt máy chủ lệnh và kiểm soát (C2), chẳng hạn như một webhook Discord hoặc một bot Telegram. Kẻ tấn công cũng có thể bật hoặc tắt các mô-đun thu thập dữ liệu cụ thể trước khi triển khai tệp thực thi cuối cùng.

Tham khảo báo cáo chi tiết từ Cyfirma: CharlieKirk Grabber: A Python-based Infostealer.

Kỹ thuật thu thập thông tin và đánh cắp dữ liệu

Khi được kích hoạt trên một hệ thống, CharlieKirk Grabber bắt đầu quá trình lập hồ sơ máy chủ bằng cách thu thập các thông tin quan trọng. Các thông tin này bao gồm tên người dùng (username), tên máy chủ (hostname), định danh duy nhất phần cứng (hardware UUID) và địa chỉ IP bên ngoài của hệ thống.

Để truy cập vào các cơ sở dữ liệu mật khẩu đã lưu, mã độc infostealer này sẽ buộc chấm dứt các tiến trình trình duyệt đang chạy. Nó sử dụng công cụ TASKKILL của Windows để thực hiện hành động này, mở khóa quyền truy cập vào dữ liệu mật khẩu.

Dữ liệu bị đánh cắp dữ liệu rất đa dạng, bao gồm mật khẩu, cookie, các mục tự động điền (autofill entries), lịch sử duyệt web và thông tin đăng nhập Wi-Fi. Sau khi thu thập, tất cả dữ liệu này được đóng gói vào một kho lưu trữ ZIP.

Tệp ZIP sau đó được tải lên nền tảng lưu trữ tệp GoFile. Một liên kết tải xuống ngay lập tức được gửi đến kẻ tấn công qua HTTPS, sử dụng webhook Discord hoặc bot Telegram. Tất cả các giao tiếp này đều được mã hóa, gây khó khăn cho việc giám sát và phát hiện.

Phương pháp ẩn mình: Tận dụng công cụ hệ thống (Living Off The Land)

Điểm làm cho mã độc infostealer này đặc biệt khó phát hiện là việc sử dụng rộng rãi các công cụ Windows hợp pháp. Những công cụ này vốn dĩ đã là một phần của mọi cài đặt hệ điều hành Windows tiêu chuẩn.

Thay vì triển khai các tệp của bên thứ ba đáng ngờ, CharlieKirk Grabber sử dụng kỹ thuật “Living Off The Land” (LOTL). Kỹ thuật này cho phép các hành động độc hại hòa nhập vào các hoạt động quản trị hệ thống bình thường, giúp tránh các cơ chế phát hiện dựa trên chữ ký.

Các lệnh và công cụ được khai thác bao gồm:

• NETSH.EXE: Được sử dụng để truy xuất các mật khẩu Wi-Fi đã lưu trên hệ thống.
• SYSTEMINFO.EXE: Dùng để lập bản đồ chi tiết về phần cứng và hệ điều hành.
• PowerShell: Được sử dụng để thêm một cách lặng lẽ các đường dẫn mã độc vào danh sách loại trừ của Microsoft Defender, vô hiệu hóa khả năng phát hiện của phần mềm bảo mật này.

# Ví dụ về việc PowerShell thêm vào danh sách loại trừ của DefenderAdd-MpPreference -ExclusionPath "C:\Users\Public\malware_dir"

Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)

Để hỗ trợ các nhóm an ninh mạng trong việc phát hiện xâm nhập và ứng phó với mối đe dọa mạng này, dưới đây là các chỉ số thỏa hiệp có thể quan sát được:

• Thực thi từ đường dẫn tạm thời: Các tệp thực thi được chạy từ các thư mục tạm thời như %TEMP% và %APPDATA%.
• Giao tiếp C2: Lưu lượng HTTPS đi ra bất thường đến các máy chủ của Discord (qua webhook) hoặc Telegram (qua bot).
• Tải lên dữ liệu: Lưu lượng HTTPS đi ra đến nền tảng lưu trữ tệp GoFile để tải lên các tệp ZIP chứa dữ liệu bị đánh cắp.
• Chấm dứt tiến trình trình duyệt: Các sự kiện chấm dứt tiến trình trình duyệt đột ngột hoặc bất thường.
• Sử dụng công cụ hệ thống bất thường:
  • Thực thi NETSH.EXE với các đối số liên quan đến việc xuất mật khẩu Wi-Fi.
  • Thực thi SYSTEMINFO.EXE để thu thập thông tin hệ thống.
  • Hoạt động PowerShell bất thường, đặc biệt là các lệnh liên quan đến việc sửa đổi cài đặt của Microsoft Defender (ví dụ: thêm vào danh sách loại trừ).
• Mô hình ATT&CK của MITRE (phỏng đoán dựa trên hành vi):
  
  • T1566.001 – Phishing: Spearphishing Attachment: Phương thức phân phối qua email lừa đảo.
  • T1204.002 – User Execution: Malicious File: Thực thi mã độc thông qua tải xuống phần mềm lậu hoặc cheat game.
  • T1059.001 – Command and Scripting Interpreter: PowerShell: Sử dụng PowerShell để cấu hình Defender.
  • T1059.003 – Command and Scripting Interpreter: Windows Command Shell: Sử dụng TASKKILL, NETSH.EXE, SYSTEMINFO.EXE.
  • T1082 – System Information Discovery: Thu thập hostname, IP, UUID.
  • T1552.001 – Unsecured Credentials: Credentials in Files: Đánh cắp mật khẩu trình duyệt.
  • T1555.003 – Credential Access: Password Store: Web Browsers: Truy cập và trích xuất dữ liệu từ trình duyệt.
  • T1560.001 – Archive Collected Data: Archive via Utility: Nén dữ liệu vào tệp ZIP.
  • T1041 – Exfiltration Over C2 Channel: Tải dữ liệu lên GoFile qua kênh C2 (Discord/Telegram).
  • T1071.001 – Application Layer Protocol: Web Protocols: Sử dụng HTTPS cho C2 và tải lên dữ liệu.
  • T1112 – Modify Registry: Có thể sửa đổi để duy trì sự tồn tại hoặc cấu hình khác.

Biện pháp phòng ngừa và phát hiện

Để bảo vệ hệ thống khỏi các mối đe dọa như CharlieKirk Grabber và các mã độc infostealer tương tự, các tổ chức cần triển khai các biện pháp an ninh đa lớp và chủ động. Việc triển khai hiệu quả giúp giảm thiểu rủi ro và tăng cường khả năng phát hiện tấn công.

Cấu hình bảo mật và chính sách người dùng

• Thực thi Xác thực đa yếu tố (MFA): Áp dụng MFA trên tất cả các dịch vụ quan trọng để tăng cường lớp bảo mật, ngay cả khi thông tin đăng nhập bị đánh cắp. Hướng dẫn MFA từ CISA có thể là nguồn tham khảo hữu ích.
• Hạn chế lưu mật khẩu trình duyệt: Thông qua chính sách doanh nghiệp, hạn chế hoặc cấm người dùng lưu mật khẩu trong trình duyệt. Khuyến khích sử dụng trình quản lý mật khẩu chuyên dụng với mã hóa mạnh mẽ.

Giám sát và kiểm soát hoạt động

• Giám sát chấm dứt tiến trình trình duyệt: Theo dõi các sự kiện chấm dứt tiến trình trình duyệt bất thường. Việc này có thể được thực hiện thông qua nhật ký sự kiện hệ thống hoặc các giải pháp EDR (Endpoint Detection and Response).
• Giám sát lưu lượng HTTPS đi ra: Theo dõi lưu lượng HTTPS đi ra đến các nền tảng như Discord, Telegram hoặc GoFile. Đây là dấu hiệu mạnh mẽ của hoạt động C2 hoặc tải lên dữ liệu.
• Giám sát hoạt động PowerShell: Theo dõi bất kỳ hoạt động PowerShell nào trong các thư mục người dùng có thể ghi (user-writable directories), đặc biệt là các lệnh liên quan đến việc sửa đổi cài đặt bảo mật.
• Chặn thực thi ứng dụng: Sử dụng AppLocker hoặc Windows Defender Application Control (WDAC) để chặn thực thi các tệp từ các đường dẫn tạm thời như %TEMP% và %APPDATA%. Điều này ngăn chặn nhiều loại mã độc, bao gồm cả mã độc infostealer, khỏi việc chạy từ các vị trí không được phép.