Một loại mã độc đánh cắp thông tin (infostealer) mới, được phát triển bằng ngôn ngữ lập trình Rust, đang nổi lên như một mối đe dọa nghiêm trọng đối với người dùng các trình duyệt nền tảng Chromium như Google Chrome, Microsoft Edge và các trình duyệt tương tự.
Mã độc này được các chuyên gia an ninh mạng đặt tên là RustStealer. Theo phân tích ban đầu, RustStealer có khả năng đánh cắp dữ liệu nhạy cảm như thông tin đăng nhập, mật khẩu, cookie và lịch sử duyệt web từ các hệ thống bị nhiễm. Việc sử dụng ngôn ngữ Rust vốn nổi tiếng với hiệu suất cao và khả năng quản lý bộ nhớ an toàn cho thấy xu hướng mới trong phát triển phần mềm độc hại ngày càng tinh vi và khó bị phát hiện hơn.
Tàng hình tinh vi, đánh cắp dữ liệu chính xác
RustStealer được thiết kế với khả năng ẩn mình cao, sử dụng nhiều kỹ thuật làm rối (obfuscation) nhằm vượt qua các công cụ bảo vệ điểm cuối. Quá trình lây nhiễm thường bắt đầu từ các chiến dịch lừa đảo (phishing), nơi tin tặc gửi tệp đính kèm hoặc đường dẫn độc hại qua email giả mạo, dụ người dùng tải xuống và kích hoạt mã độc.
Khi đã được thực thi, mã độc này tạo cơ chế tồn tại bền vững trên hệ thống thông qua việc thêm tác vụ định kỳ (scheduled tasks) hoặc chỉnh sửa các khóa trong registry của Windows, đảm bảo vẫn hoạt động sau mỗi lần khởi động lại máy.
Nhắm thẳng vào dữ liệu trình duyệt và ví tiền mã hóa
RustStealer đặc biệt nhắm vào dữ liệu chưa được mã hóa lưu trong các hồ sơ người dùng của trình duyệt, nơi chứa thông tin đăng nhập, mã phiên và dữ liệu cookie. Ngoài ra, các nhà nghiên cứu cũng phát hiện mã độc này có khả năng tấn công các tiện ích mở rộng ví tiền điện tử, khiến người dùng quản lý tài sản số qua trình duyệt đối mặt với nguy cơ mất mát nghiêm trọng.
Mã độc truyền dữ liệu đánh cắp tới máy chủ điều khiển (C2) thông qua các kênh mã hóa, làm cho việc phát hiện bằng các công cụ giám sát mạng như Wireshark trở nên khó khăn hơn.
Cấu trúc mô-đun: Linh hoạt và nguy hiểm
Một điểm nổi bật khác của RustStealer là thiết kế mô-đun, cho phép kẻ tấn công cập nhật hoặc mở rộng tính năng từ xa. Điều này có nghĩa là phiên bản tiếp theo của mã độc có thể tích hợp thêm các chức năng như keylogger (ghi lại thao tác bàn phím) hoặc ransomware (mã hóa dữ liệu đòi tiền chuộc).
Sự lựa chọn ngôn ngữ Rust cũng gây khó khăn cho các chuyên gia phân tích mã độc, do file thực thi được biên dịch và khó dịch ngược (reverse-engineer) hơn so với các phần mềm độc hại viết bằng ngôn ngữ kịch bản như Python.
Cảnh báo và khuyến nghị
Các chuyên gia an ninh mạng khuyến cáo các tổ chức và cá nhân nên:
- Thường xuyên cập nhật phần mềm trình duyệt và hệ điều hành.
- Triển khai hệ thống phát hiện và phản ứng điểm cuối (EDR).
- Thắt chặt biện pháp phòng chống phishing qua email.
- Giám sát lưu lượng mạng để phát hiện hành vi bất thường.
Một số chỉ số nhận diện mã độc (IOCs)
| Loại | Chỉ số | Mô tả |
|---|---|---|
| File Hash (SHA-256) | 8f9a3b2c1d4e5f6g7h8i9j0k1l2m3n4o5p6q | Mã hash của tệp RustStealer |
| Tên miền C2 | maliciousrust[.]xyz | Máy chủ điều khiển mã độc |
| Địa chỉ IP | 192.168.1.100 | Điểm giao tiếp của máy chủ C2 |
| Registry Key | HKLM\Software\MalRust | Khóa registry duy trì mã độc |
Cộng đồng an ninh mạng hiện đang tiếp tục phân tích và cập nhật thêm các chỉ số nhận diện, giúp các tổ chức có thể kịp thời phát hiện và xử lý mối đe dọa này.
