Mã độc SnappyClient: Mối đe dọa mạng tinh vi, nghiêm trọng

Một mối đe dọa mạng mới đáng lo ngại đã xuất hiện dưới dạng mã độc được gọi là SnappyClient. Đây là một implant độc hại phức tạp, kết hợp khả năng truy cập từ xa, đánh cắp dữ liệu và các kỹ thuật né tránh tinh vi trong một gói C++ nhỏ gọn.

Được phát hiện lần đầu vào tháng 12 năm 2025, khung điều khiển và kiểm soát (C2) này có thể ghi lại thao tác bàn phím (keylogging), chụp ảnh màn hình, khởi chạy terminal từ xa và trích xuất dữ liệu nhạy cảm từ các trình duyệt cùng ứng dụng. Tất cả các hoạt động này đều được thực hiện nhằm né tránh sự phát hiện của các công cụ bảo mật.

Chuỗi Lây Nhiễm và Phương Thức Phân Phối

Chuỗi tấn công của mã độc SnappyClient thường bắt đầu bằng một trang web giả mạo đáng tin cậy, mạo danh Telefónica, một công ty viễn thông nổi tiếng. Những người dùng nói tiếng Đức truy cập trang này sẽ tự động tải xuống HijackLoader.

Khi nạn nhân thực thi tệp này, HijackLoader sẽ giải mã và tải SnappyClient trực tiếp vào bộ nhớ. Phương thức lây nhiễm này cho phép mã độc hoạt động mà không cần ghi các tệp đáng ngờ vào ổ đĩa, làm tăng khả năng né tránh các giải pháp bảo mật truyền thống.

Một phương thức phân phối thứ hai đã được ghi nhận vào đầu tháng 2 năm 2026. Kẻ tấn công sử dụng kỹ thuật ClickFix được chia sẻ qua mạng xã hội X (trước đây là Twitter). Kỹ thuật này cũng dẫn đến việc thả SnappyClient thông qua GhostPulse và HijackLoader, cho thấy sự đa dạng trong cách tiếp cận mục tiêu.

Cơ Chế Hoạt Động và Giao Tiếp C2

Các nhà nghiên cứu của Zscaler ThreatLabz đã xác định SnappyClient khi theo dõi hoạt động của HijackLoader. Phân tích của họ cho thấy SnappyClient giao tiếp với máy chủ C2 qua giao thức TCP sử dụng một giao thức tùy chỉnh hoàn toàn. Phân tích kỹ thuật chi tiết của Zscaler cung cấp thêm thông tin về cơ chế này.

Mỗi tin nhắn được nén bằng thuật toán Snappy và mã hóa bằng ChaCha20-Poly1305. Điều này khiến việc kiểm tra lưu lượng mạng trở nên khó khăn hơn đáng kể đối với các nhà bảo vệ, làm phức tạp quá trình phân tích và phát hiện xâm nhập.

Khả Năng Đánh Cắp Dữ Liệu

SnappyClient nhắm mục tiêu vào nhiều ứng dụng để đánh cắp dữ liệu, tập trung vào thông tin tài chính và cá nhân. Mã độc này thu thập các thông tin quan trọng từ:

• Trình duyệt: Gồm Chrome, Firefox, Edge, Opera, và Brave. Mã độc thu thập mật khẩu đã lưu, cookie phiên và hồ sơ trình duyệt đầy đủ.
• Tiện ích mở rộng liên quan đến tiền điện tử: Như MetaMask, Phantom, TronLink, Coinbase Wallet và TrustWallet.
• Ứng dụng tiền điện tử độc lập: Bao gồm Exodus, Atomic, Electrum và Ledger Live.

Phân tích mạng đã xác nhận rằng mục tiêu tài chính chính đằng sau các chiến dịch này là hành vi đánh cắp tiền điện tử. Ngoài ra, SnappyClient còn hỗ trợ các proxy ngược cho FTP, VNC, SOCKS5, và RLOGIN, mở ra nhiều con đường cho kẻ tấn công xâm nhập sâu hơn vào mạng nạn nhân.

Mã độc này theo dõi nội dung clipboard theo thời gian thực, âm thầm thay thế địa chỉ ví Ethereum để chuyển hướng các giao dịch tiền điện tử đến ví của kẻ tấn công.

Kỹ Thuật Né Tránh Phát Hiện

Điều khiến mã độc SnappyClient khó bị ngăn chặn là khả năng vô hiệu hóa hiệu quả các cơ chế kiểm soát bảo mật được thiết kế để phát hiện nó.

Vô hiệu hóa Giao diện Quét Chống Mã độc của Windows (AMSI)

Ngay từ khi khởi động, implant này móc nối hàm LoadLibraryExW của Windows và theo dõi mọi nỗ lực tải amsi.dll. Khi được phát hiện, nó sẽ vá các hàm AmsiScanBuffer và AmsiScanString để luôn trả về kết quả sạch, âm thầm vô hiệu hóa Giao diện Quét Chống Mã độc của Windows mà không gây ra bất kỳ cảnh báo nào.

// Pseudocode for AMSI bypassif (LoadLibraryExW("amsi.dll", ...) detected) { patch AmsiScanBuffer -> return AMSI_RESULT_CLEAN patch AmsiScanString -> return AMSI_RESULT_CLEAN}

Bỏ qua Hook API Chế độ Người dùng bằng Heaven’s Gate

Để bỏ qua các hook API chế độ người dùng được đặt bởi các sản phẩm bảo mật điểm cuối (endpoint security products), SnappyClient sử dụng kỹ thuật Heaven’s Gate. Kỹ thuật này chuyển đổi thực thi giữa các chế độ 32-bit và 64-bit để thực hiện các lệnh gọi hệ thống trực tiếp, bỏ qua các lớp API bị giám sát.

Ngoài ra, nó ánh xạ một bản sao sạch của ntdll.dll vào bộ nhớ, cho phép truy cập các chức năng cốt lõi của Windows mà không bị can thiệp. Những mô hình này rất giống với thiết kế của HijackLoader, cho thấy mối liên hệ tiềm tàng giữa các nhà phát triển của cả hai công cụ.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Để đảm bảo sự tồn tại trên hệ thống bị xâm nhập, SnappyClient áp dụng hai phương pháp chính:

1. Đầu tiên, nó đăng ký một tác vụ đã lên lịch (scheduled task) kích hoạt mỗi khi người dùng đăng nhập.
2. Nếu phương pháp trên thất bại, nó sẽ ghi một mục tự khởi chạy vào khóa registry Software\Microsoft\Windows\CurrentVersion\Run.

Implant này tự sao chép đến một đường dẫn đã cấu hình và khởi chạy từ đó, chấm dứt tiến trình gốc. Tất cả các tệp nhạy cảm được lưu trữ trên đĩa – bao gồm tệp keylogger, EventsDB và SoftwareDB – đều được mã hóa bằng ChaCha20, làm cho việc phục hồi pháp y trở nên khó khăn hơn đáng kể.

Hai tệp cấu hình động – EventsDB và SoftwareDB – được máy chủ C2 đẩy xuống để chỉ đạo implant về những ứng dụng cần nhắm mục tiêu và những hành động cần thực hiện. Điều này làm cho mã độc SnappyClient trở nên linh hoạt mà không yêu cầu triển khai lại.

Biện Pháp Phòng Ngừa và Phát Hiện Xâm Nhập

Để giảm thiểu rủi ro từ mã độc SnappyClient và các mối đe dọa tương tự, người dùng và tổ chức cần thực hiện các biện pháp bảo mật chủ động:

• Thận trọng khi tải xuống: Tránh tải xuống các tệp thực thi từ các trang web không xác minh, ngay cả khi chúng dường như đại diện cho các thương hiệu nổi tiếng.
• Giám sát hệ thống: Các nhóm bảo mật nên theo dõi việc tạo tác vụ đã lên lịch bất thường và các thay đổi đáng ngờ trong khóa registry chạy tự động. Đây là những dấu hiệu cảnh báo sớm về các thói quen duy trì quyền truy cập của SnappyClient.
• Quy tắc phát hiện điểm cuối: Các quy tắc phát hiện điểm cuối (endpoint detection) nên bao gồm các mẫu thực thi Heaven’s Gate và hành vi “transacted hollowing”.
• Cập nhật trình duyệt: Luôn cập nhật trình duyệt thường xuyên để giảm thiểu nguy cơ bị bỏ qua mã hóa liên kết ứng dụng (App-Bound Encryption bypass).
• Kiểm tra tiện ích mở rộng: Thường xuyên kiểm tra các tiện ích mở rộng trình duyệt đã cài đặt, đặc biệt là những tiện ích liên quan đến ví tiền điện tử, được khuyến nghị mạnh mẽ để đảm bảo an ninh mạng.