Infostealers: Biến hàng triệu thiết bị thành cỗ máy đánh cắp thông tin xác thực

Các tin tặc không còn cần phải ép buộc chui vào qua cửa sổ bên cạnh khi mà các loại phần mềm đánh cắp dữ liệu (infostealer) có thể tự tay đưa cho họ chiếc chìa khóa cửa chính.

Ngày nay, infostealer đã trở thành nguồn cung cấp thông tin xác thực (credentials) bị đánh cắp chủ yếu cho các tin tặc. Việc sử dụng các thông tin đăng nhập này hiện là con đường được các nhân vật xấu ưa chuộng nhất để tiếp cận mục tiêu một cách hiệu quả như một vị khách được mời. Phương pháp này nhanh hơn, dễ dàng hơn, ít bị lộ hơn và hiệu quả hơn nhiều so với việc cố gắng đột phá hệ thống.

Malware đánh cắp dữ liệu

Theo báo cáo của Flashpoint, đã có hơn 11,1 triệu thiết bị bị nhiễm infostealer trong năm 2025. Hơn 3,3 tỷ thông tin xác thực, dữ liệu trình duyệt, thông tin phiên làm việc và các dạng danh tính khác hiện đang lưu hành trên các chợ đen bất hợp pháp. Những dữ liệu này không chỉ đơn thuần cung cấp quyền truy cập vào mục tiêu, mà chúng thường cấp quyền truy cập được ủy quyền vào các dữ liệu giá trị mà không bị các hệ thống phòng thủ bên trong mục tiêu phát hiện.

Sự thống trị của Malware-as-a-Service

Flashpoint đã phát hiện hơn 30 chủng loại infostealer (từ đây sẽ gọi tắt là "stealer") riêng biệt. Con số chính xác của các "cá nhân" stealer rất khó (và có lẽ không có ý nghĩa) để định lượng chính xác – thị trường này thay đổi gần như hàng ngày với sự xuất hiện của các loại stealer mới, các loại cũ bị phân nhánh (fork), và các cơ quan thực thi pháp luật đóng cửa hoặc ít nhất là làm gián đoạn các loại khác.

Bảo mật mạng

Các loại stealer có sẵn trên hệ sinh thái ngầm, thường thông qua mô hình phần mềm độc hại dưới dạng dịch vụ (Malware-as-a-Service - MaaS) và cho thuê với giá rẻ chỉ khoảng 60 USD mỗi tháng. Trong năm 2025, những loại stealer thành công nhất, theo thứ tự, là Lumma, Acreed, Rhadamanthys, Vidar và StealC. Tuy nhiên, điều này có thể thay đổi nhanh chóng. Trong hai tháng đầu năm 2026, Vidar đã vươn lên từ vị trí thứ tư để thống trị, chiếm hơn 73% tất cả các máy chủ và thiết bị bị nhiễm. Lumma, người đứng đầu năm 2025, hiện chỉ chiếm 1,1%.

Cơ chế hoạt động tinh vi

Khi tin tặc có được một stealer, họ sau đó phải lây nhiễm thiết bị mục tiêu. Thông thường, đây có thể là bất kỳ thiết bị nào được kết nối với mạng mà họ định tấn công, vì các bí mật có sẵn tại đây sẽ cung cấp quyền truy cập vào các phần khác của mạng. Phương pháp phân phối phổ biến nhất sẽ là bất kỳ cuộc tấn công kỹ thuật xã hội nào nhằm vào bất kỳ ai sử dụng máy tính để bàn hoặc máy tính xách tay. Thành công ở đâu đó về mặt thống kê là gần như được đảm bảo.

Các stealer riêng lẻ có thể có các quy trình khác nhau và có thể đánh cắp dữ liệu khác nhau. Tuy nhiên, bất kể chúng hoạt động như thế nào và đánh cắp cái gì, chúng sẽ tuân theo một tập hợp con của các quy trình sau:

Tránh phát hiện: Chúng có thể xác định trước xem mình đang chạy trong một sandbox (nghĩa là sự hiện diện của chúng đã được phát hiện bởi các điều khiển bảo mật). Nếu vậy, chúng có thể chấm dứt hoạt động ngay lập tức để tránh bị gắn cờ bởi các hệ thống phòng thủ của doanh nghiệp.

Làm rối mã: Mã của chúng có thể sử dụng mã hóa chuỗi và làm rối mã (obfuscation) để ngăn chặn việc phát hiện bởi các công cụ phân tích tĩnh. Việc giải mã này chỉ được thực hiện trong bộ nhớ, khiến nó chỉ hiển thị trong thời gian ngắn. Điều này khiến việc phát hiện dựa trên chữ ký (signature-based detection) trở nên khó khăn.

Thu thập dữ liệu: Stealer bắt đầu thu thập (thường là vẫn trong bộ nhớ) bất kỳ dữ liệu nào được thiết kế để thu thập – về cơ bản là bất kỳ thứ gì nhà thiết kế cảm thấy có thể dễ dàng kiếm tiền nhất. Mục tiêu chính là thông tin xác thực, bao gồm mật khẩu trang web, thông tin xác thực doanh nghiệp (VPN, RDP, VNC, webmail), đăng nhập SaaS, thông tin xác thực nền tảng đám mây, tài khoản email, cửa hàng trình quản lý mật khẩu và dữ liệu tự động điền có thể chứa thông tin cá nhân được lưu trữ như tên, số điện thoại và địa chỉ email.

Mở rộng phạm vi: Chúng cũng có thể đánh cắp cookie trình duyệt, token phiên hoạt động và tạo tác phiên đám mây/SaaS. Stealer sẽ tìm kiếm bất kỳ dữ liệu trình duyệt hữu ích nào, bao gồm cả tiện ích mở rộng đã cài đặt và tác nhân người dùng. Chúng có thể đánh cắp bất kỳ thông tin ví tiền điện tử nào chúng tìm thấy, chẳng hạn như hạt giống ví (wallet seeds) và khóa riêng tư dù từ trình duyệt hay ứng dụng máy tính để bàn; và bất kỳ dữ liệu thẻ tín dụng nào có thể được tìm thấy.

Bối cảnh hệ thống: Stealer cũng thu thập siêu dữ liệu hệ thống (phiên bản hệ điều hành, phần cứng, địa chỉ IP, v.v.). Bằng cách kết hợp dữ liệu và siêu dữ liệu, stealer không chỉ đánh cắp danh tính mà chúng còn đánh cắp cả ngữ cảnh.

Tổng hợp và exfiltration: Stealer sẽ đóng gói dữ liệu thành các tệp nội dung có liên quan (được gọi là nhật ký stealer hoặc stealer logs). Nó có thể nén và mã hóa chúng để ẩn nội dung khỏi hệ thống DLP (Phòng mất dữ liệu) của doanh nghiệp, sau đó gửi chúng đến một máy chủ web do tin tặc kiểm soát.

Từ việc đánh cắp đến tống tiền

Kẻ tấn công kiếm tiền từ các nhật ký này; có thể bằng cách sử dụng cá nhân, nhưng khả năng cao hơn là bán chúng cho các nhóm tội phạm. Một công dụng phổ biến của các nhóm này là sử dụng danh tính bị đánh cắp để có quyền truy cập không bị phát hiện, triển khai và kích hoạt ransomware (mã độc tống tiền) trước khi chúng bị phát hiện và chặn. Thường có một đường liên kết trực tiếp và tương đối ngắn giữa việc nhiễm stealer và yêu cầu tiền chuộc.

Infostealer dễ sử dụng, khó phát hiện hoặc chặn, và hoạt động tàn bạo. Hầu hết nạn nhân không biết họ là nạn nhân cho đến khi họ bị xâm nhập bởi chính thông tin đăng nhập của mình – nhưng đã bị đánh cắp. Lời cảnh báo duy nhất khác là thông tin tình báo đe dọa tìm thấy thông tin đăng nhập đang được giao dịch trên các thị trường bất hợp pháp – nhưng khả năng hiển thị đó không ngăn bạn trở thành nạn nhân, nó chỉ xác nhận rằng bạn đã trở thành nạn nhân.