Infostealers: Biến hàng triệu thiết bị thành cỗ máy đánh cắp thông tin đăng nhập

Infostealers: Biến hàng triệu thiết bị thành cỗ máy đánh cắp thông tin đăng nhập

Các tin tặc hiện nay không còn cần phải đột nhập bằng cách phá vỡ cửa sổ khi mà phần mềm đánh cắp thông tin (infostealer) có thể tự trao cho họ chìa khóa cửa chính.

Infostealers đã trở thành nguồn cung cấp thông tin đăng nhập bị đánh cắp chủ yếu cho các tin tặc. Việc sử dụng các thông tin này hiện là con đường được các tác nhân độc hại ưa chuộng để tiếp cận mục tiêu một cách hiệu quả, giống như một vị khách được mời. Phương pháp này nhanh hơn, dễ dàng hơn, khó bị phát hiện hơn và hiệu quả hơn so với việc cố gắng phá vỡ hệ thống bảo vệ.

Infostealer Malware

Quy mô đáng báo động

Theo báo cáo của Flashpoint, hơn 11,1 triệu thiết bị đã bị nhiễm loại mã độc này vào năm 2025. Hiện có hơn 3,3 tỷ thông tin đăng nhập, dữ liệu trình duyệt, thông tin phiên hoạt động và các dạng dữ liệu nhận dạng khác đang lưu hành trên các thị trường chợ đen. Những dữ liệu này không chỉ đơn thuần cung cấp quyền truy cập vào mục tiêu, mà chúng thường mang lại quyền truy cập được ủy quyền vào các dữ liệu giá trị mà không bị các hệ thống phòng thủ bên trong mục tiêu phát hiện.

Flashpoint đã phát hiện hơn 30 chủng loại infostealer (sau đây gọi tắt là 'stealers') khác nhau. Tuy nhiên, con số chính xác của các 'stealers' cá nhân rất khó (và có lẽ vô nghĩa) để định lượng chính xác — thị trường này thay đổi gần như mỗi ngày với sự xuất hiện của các stealers mới, các stealers hiện tại được phân nhánh (fork), và cơ quan thực thi pháp luật đóng cửa hoặc ít nhất là làm gián đoạn các hoạt động của những loại khác.

Thị trường ngầm và các biến thể

Các loại stealers có sẵn trong hệ sinh thái ngầm, thường thông qua mô hình Malware-as-a-Service (MaaS - Dịch vụ phần mềm độc hại) và cho thuê với giá chỉ khoảng 60 USD mỗi tháng. Trong năm 2025, những stealers thành công nhất, theo thứ tự, là Lumma, Acreed, Rhadamanthys, Vidar và StealC. Tuy nhiên, tình hình này có thể thay đổi nhanh chóng. Trong hai tháng đầu năm 2026, Vidar đã vươn lên từ vị trí thứ tư để thống trị, chiếm hơn 73% tất cả các máy chủ và thiết bị bị nhiễm. Lumma, đứng đầu năm 2025, hiện chỉ chiếm 1,1%.

Khi tin tặc có được một stealer, họ phải lây nhiễm thiết bị mục tiêu. Thông thường, đây có thể là bất kỳ thiết bị nào được kết nối với mạng mà họ định tấn công, bởi vì các bí mật có sẵn ở đây sẽ cung cấp quyền truy cập vào các phần khác của mạng. Phương thức phân phối phổ biến nhất sẽ là các cuộc tấn công kỹ thuật xã hội tiêu chuẩn nhắm vào bất kỳ ai sử dụng máy tính để bàn hoặc máy tính xách tay. Thành công ở đâu đó về mặt thống kê là gần như được đảm bảo.

Cơ chế hoạt động tinh vi

Mỗi loại stealer có thể có các quy trình khác nhau và đánh cắp các dữ liệu khác nhau. Nhưng bất kể nó hoạt động như thế nào và đánh cắp cái gì, nó sẽ là một tập hợp con của các quy trình sau:

Trước tiên, nó có thể xác định xem mình có đang chạy trong môi trường sandbox (hộp cát) hay không, nghĩa là sự hiện diện của nó đã được phát hiện bởi các kiểm soát bảo mật. Nếu có, nó có thể chấm dứt hoạt động ngay lập tức để tránh bị gắn cờ bởi các hệ thống phòng thủ doanh nghiệp.

Mã của nó có thể sử dụng mã hóa chuỗi và làm rối mã (obfuscation) để ngăn chặn việc phát hiện bởi các công cụ phân tích tĩnh. Quá trình giải mã này được thực hiện trong bộ nhớ, khiến nó chỉ hiển thị trong một thời gian ngắn. Điều này làm cho việc phát hiện dựa trên chữ ký trở nên khó khăn.

Security Illustration

Stealer bắt đầu thu thập (thường là trong khi vẫn còn trong bộ nhớ) bất kỳ dữ liệu nào được thiết kế để thu thập — về cơ bản là bất kỳ thứ gì nhà thiết kế cảm thấy có thể dễ dàng kiếm tiền nhất. Thông tin đăng nhập là mục tiêu chính, bao gồm mật khẩu trang web, thông tin xác thực doanh nghiệp (VPN, RDP, VNC, webmail), đăng nhập SaaS, thông tin xác thực nền tảng đám mây, tài khoản email, kho lưu trữ trình quản lý mật khẩu và dữ liệu tự động điền có thể chứa thông tin cá nhân được lưu trữ như tên, số điện thoại và địa chỉ email.

Nó cũng có thể đánh cắp cookie trình duyệt, token phiên hoạt động và các tạo tác phiên đám mây/SaaS. Stealers sẽ tìm kiếm bất kỳ dữ liệu trình duyệt hữu ích nào, bao gồm cả các tiện ích mở rộng đã cài đặt và tác nhân người dùng. Chúng có thể đánh cắp bất kỳ thông tin ví tiền điện tử nào chúng tìm thấy, chẳng hạn như hạt giống ví (wallet seeds) và khóa riêng tư, dù từ trình duyệt hay ứng dụng máy tính để bàn; cũng như bất kỳ dữ liệu thẻ tín dụng nào có thể tìm thấy.

Ngoài ra, stealers còn thu thập siêu dữ liệu hệ thống (phiên bản hệ điều hành, phần cứng, địa chỉ IP, v.v.). Bằng cách kết hợp dữ liệu và siêu dữ liệu, stealers không chỉ đánh cắp danh tính mà còn đánh cắp cả ngữ cảnh.

Cuối cùng, stealer sẽ đóng gói dữ liệu vào các tệp nội dung phù hợp (được gọi là nhật ký stealer). Nó có thể nén và mã hóa chúng để ẩn nội dung khỏi hệ thống DLP (Phòng mất dữ liệu) của doanh nghiệp, sau đó gửi chúng đến máy chủ web do kẻ tấn công kiểm soát.

Hậu quả và sự nguy hiểm

Kẻ tấn công kiếm tiền từ các nhật ký này; có thể bằng cách sử dụng chúng cho mục đích cá nhân, nhưng có khả năng hơn là bán chúng cho các nhóm tội phạm. Một cách sử dụng phổ biến của các nhóm này là sử dụng danh tính bị đánh cắp để truy cập không bị phát hiện, triển khai và kích hoạt mã độc tống tiền (ransomware) trước khi chúng bị phát hiện và chặn. Thường có một đường dẫn trực tiếp và tương đối ngắn giữa việc nhiễm stealer và yêu cầu tiền chuộc.

Infostealers dễ sử dụng, khó phát hiện hoặc chặn, và hành động rất tàn bạo. Hầu hết nạn nhân không biết mình là nạn nhân cho đến khi hệ thống của họ bị xâm nhập bằng chính thông tin đăng nhập của họ — nhưng đã bị đánh cắp. Khả năng hiển thị duy nhất khác là tình báo đe dọa tìm thấy thông tin đăng nhập đang được giao dịch trên các thị trường bất hợp pháp — nhưng khả năng hiển thị đó không ngăn bạn trở thành nạn nhân, nó chỉ xác nhận rằng bạn đã trở thành nạn nhân.