OnyxC2: Mối đe dọa hiểm độc mới đánh cắp dữ liệu

Một công cụ đánh cắp thông tin đăng nhập mới và nguy hiểm có tên OnyxC2 vừa xuất hiện trong giới tội phạm mạng, cho thấy mức độ dễ dàng để ngay cả những kẻ tấn công có kỹ năng thấp cũng có thể vận hành một chiến dịch tấn công chuyên nghiệp. Công cụ này được bán dưới dạng một gói hoàn chỉnh với giá 250 USD mỗi tháng, cung cấp cho người mua mọi thứ họ cần để bí mật đánh cắp dữ liệu đăng nhập từ các nạn nhân trên toàn thế giới. Điểm nổi bật của OnyxC2 là phạm vi nhắm mục tiêu rộng lớn: hơn 210 ứng dụng và tiện ích mở rộng trình duyệt chỉ trong một lần quét. Đây là một mối đe dọa mạng đáng chú ý đối với an toàn thông tin.

Nội dung

Tiếp thị và Cấu trúc của OnyxC2

Chi tiết kỹ thuật và Khả năng né tránh

Phạm vi Nhắm mục tiêu và Tác động

Các Tính năng Tấn công và Kỹ thuật Phân phối

Kỹ thuật DLL Sideloading và Che giấu Mã độc

Khuyến nghị Bảo mật

Tiếp thị và Cấu trúc của OnyxC2

OnyxC2 được tiếp thị giống như phần mềm thương mại hợp pháp, bao gồm một bảng điều khiển web, trình tạo payload, định giá theo cấp bậc và chính sách hoàn tiền nếu một bản build bị gắn cờ. Với mức phí hàng tháng, người mua nhận được một bộ công cụ có khả năng đánh cắp thông tin đăng nhập trình duyệt, dữ liệu quản lý mật khẩu, mã xác thực hai yếu tố và thông tin ví tiền điện tử.

Dữ liệu bị đánh cắp được gửi trở lại thông qua một kênh được mã hóa, khiến các công cụ bảo mật khó phát hiện hơn trong quá trình truyền tải. Các nhà phân tích tại Blackfog đã xác định được phần mềm độc hại này và công bố phát hiện của họ trong một báo cáo chia sẻ với Cyber Security News. Nghiên cứu này tiết lộ phạm vi đầy đủ của những gì OnyxC2 có thể làm và cách nó né tránh việc bị phát hiện.

Chi tiết kỹ thuật và Khả năng né tránh

Nhóm nghiên cứu đã thu thập các bản build trực tiếp, chạy chúng trong môi trường sandbox và xác nhận rằng công cụ này đang tích cực kết nối với cơ sở hạ tầng chỉ huy và kiểm soát (C2) đang hoạt động. Phần mềm độc hại được viết bằng C++, sử dụng mã assembly để vượt qua các quy tắc bảo mật ở cấp độ hệ thống.

Mỗi bản build được biến đổi (mutated) trước khi phân phối để phá vỡ cơ chế phát hiện dựa trên chữ ký của phần mềm diệt virus. Nhà phát triển tuyên bố tỷ lệ né tránh đạt tới 99%. Các thử nghiệm của Blackfog đã xác nhận điều này: cả hai bản mẫu được gửi lên VirusTotal đều cho kết quả sạch khi tải lên lần đầu, với thành phần độc hại vẫn chưa bị phát hiện tính đến ngày 30 tháng 5 năm 2026. Khả năng né tránh này đặt ra một nguy cơ bảo mật cao.

Phạm vi Nhắm mục tiêu và Tác động

Tiềm năng gây thiệt hại là rất thực tế. Một máy tính bị nhiễm được hiển thị trong bảng điều khiển đã giao nộp 55 mật khẩu đã lưu, 4.717 cookie, 719 mục tự động điền, dữ liệu thẻ tín dụng và một ví tiền điện tử, tất cả chỉ từ một máy chủ duy nhất. Lượng thông tin thu thập được như vậy có thể mở khóa hệ thống ngân hàng, tài khoản doanh nghiệp và các dịch vụ đám mây chỉ trong một lần thực hiện.

Phạm vi rộng lớn của danh sách mục tiêu của OnyxC2 khiến nó khác biệt so với các công cụ đánh cắp thông tin đơn giản hơn. Công cụ này nhắm mục tiêu tới 37 trình duyệt dựa trên Chromium và 8 trình duyệt dựa trên Gecko, cộng thêm 95 tiện ích mở rộng Chromium và 14 tiện ích mở rộng Gecko, bao gồm 6 công cụ xác thực hai yếu tố chuyên dụng. Ngay cả các tài khoản được bảo vệ bằng 2FA cũng không an toàn khỏi mối đe dọa này.

Công cụ đánh cắp thông tin này cũng bao gồm 5 trình quản lý mật khẩu, 17 ví tiền điện tử, 11 trình khách FTP và 5 trình khách email. Một công cụ đánh cắp thông tin có khả năng thu thập dữ liệu quản lý mật khẩu cùng với các cookie phiên hoạt động có thể truy cập tài khoản ngay cả sau khi nạn nhân thay đổi mật khẩu.

Các mục tiêu FTP và email mở rộng phạm vi của nó vượt ra ngoài các tài khoản cá nhân và xâm nhập vào các hệ thống kinh doanh mà các nhóm tài chính và vận hành sử dụng hàng ngày. Điều này cho thấy hệ thống bị tấn công có thể lan rộng trong môi trường doanh nghiệp.

Các Tính năng Tấn công và Kỹ thuật Phân phối

Ngoài việc đánh cắp thông tin đăng nhập, OnyxC2 còn tích hợp một bộ công cụ truy cập từ xa đầy đủ. Kẻ tấn công có thể sử dụng HVNC (HTTP Virtual Network Computing) để kiểm soát một phiên trình duyệt ẩn, chạy trình ghi nhật ký bàn phím (keylogger), chụp ảnh màn hình và quản lý tệp từ xa. Một proxy SOCKS5 đảo ngược và một đường hầm Tor tích hợp hoàn thiện bộ công cụ, cho phép kẻ tấn công định tuyến lưu lượng truy cập một cách ẩn danh.

OnyxC2 tiếp cận nạn nhân thông qua các gói trình cài đặt giả mạo, được ngụy trang dưới dạng các bản tải xuống phần mềm hợp pháp. Các mồi nhử mà các nhà nghiên cứu phát hiện bao gồm các gói giả mạo Fling-Standalone, FinePrint, SystemSettings và các tệp cập nhật Windows giả.

Kỹ thuật DLL Sideloading và Che giấu Mã độc

Mỗi kho lưu trữ độc hại đều được bảo vệ bằng mật khẩu, giúp nó lọt qua các công cụ quét tự động cần phải mở tệp để kiểm tra. Bên trong mỗi kho lưu trữ giả mạo là một gói hai tệp được xây dựng cho kỹ thuật DLL sideloading. Tệp đầu tiên là một ứng dụng được ký hợp lệ mà Windows tin cậy mà không cần kiểm tra, và tệp thứ hai là một DLL độc hại có tên trùng khớp với một thư viện mà chương trình đã ký tải khi khởi động.

Khi nạn nhân chạy thứ trông giống như một trình cài đặt, chương trình đáng tin cậy sẽ vô tình tải mã của kẻ tấn công từ cùng một thư mục. DLL độc hại được thổi phồng vượt quá 120 MB bằng cách giả lập một thư viện đồ họa NVIDIA thực tế, với các tên hàm xuất (exported function names) trông chân thực được nhúng bên trong.

Nhiều máy quét antivirus bỏ qua các tệp lớn để tiết kiệm thời gian, và payload thực tế nằm được mã hóa bên trong, chỉ giải mã khi chạy. Việc sử dụng kỹ thuật này nhằm mục đích làm cho việc phát hiện tấn công trở nên khó khăn hơn.

Khuyến nghị Bảo mật

Blackfog khuyến nghị thực thi các biện pháp kiểm soát chống exfiltration dữ liệu tại điểm cuối, chặn các truyền dữ liệu đi ra tại điểm đánh cắp thay vì chỉ dựa vào việc quét tệp. Để đối phó với các lỗ hổng zero-day và các mối đe dọa tinh vi như OnyxC2, việc cập nhật bản vá bảo mật và áp dụng các lớp phòng thủ bổ sung là cực kỳ quan trọng.

Các tấn công mạng ngày càng trở nên phức tạp, và các công cụ như OnyxC2 cho phép các tác nhân đe dọa có quy mô nhỏ hơn thực hiện các hoạt động xâm nhập quy mô lớn. Việc nhận thức về các công cụ mới này và các kỹ thuật phân phối của chúng là bước đầu tiên để tăng cường khả năng phòng thủ an ninh mạng.

Chỉ số Compromise (IOC):

Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo liên kết ngoài ý muốn. Chỉ khôi phục lại định dạng đầy đủ trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.