OnyxC2 Stealer: Mối đe dọa đánh cắp dữ liệu cấp độ doanh nghiệp chỉ với 250 USD/tháng

OnyxC2 Stealer, một phần mềm độc hại mới nổi, đã xuất hiện trên các mạng tội phạm mạng đầu năm nay và đang được cung cấp dưới mô hình Malware-as-a-Service (MaaS - Phần mềm độc hại dưới dạng dịch vụ). Với mức giá thuê bao bắt đầu từ 250 USD mỗi tháng, OnyxC2 được định vị ở phân khúc cao cấp nhờ khả năng ẩn mình và phạm vi tấn công rộng lớn.

Hình ảnh minh họa Malware

Các nhà phát triển của OnyxC2 cung cấp nhiều gói dịch vụ khác nhau, bao gồm gói "normal" với giá 250 USD/tháng và gói "premium" (bao gồm tính năng HVNC) với giá 500 USD/tháng. Đáng chú ý, họ tự tin enough để hoàn tiền nếu bản build bị phát hiện bởi các công cụ bảo mật. Ngoài ra, còn có tùy chọn "private" mua đứt mã nguồn và hướng dẫn cài đặt với giá 6.000 USD.

Các nhà nghiên cứu tại BlackFog đã phân tích hai mẫu của phần mềm này và nhận định rằng nó được bán và hỗ trợ như một sản phẩm thương mại chuyên nghiệp. Điều này giúp đặt những công cụ đánh cắp dữ liệu mạnh mẽ vào tay những kẻ mua không có khả năng viết mã độc. Để hỗ trợ người dùng, gói phần mềm còn bao gồm các "mồi nhử" (lures) sẵn có như FinePrint, SystemSettings, gói cập nhật Windows giả mạo và cả các công cụ dành cho game thủ.

Khả năng tấn công rộng khắp

OnyxC2 sở hữu khả năng tiếp cận đáng sợ. Các nhà phát triển tuyên bố có thể truy cập dữ liệu từ 37 trình duyệt dựa trên Chromium và 8 trình duyệt dựa trên Gecko; 95 tiện ích mở rộng Chromium và 14 tiện ích Gecko (bao gồm 6 tiện ích xác thực hai yếu tố 2FA); 5 trình quản lý mật khẩu, 17 ví tiền điện tử, 11 ứng dụng khách FTP và 5 ứng dụng khách email. Tổng cộng, BlackFog ước tính OnyxC2 nhắm tới khoảng 210 ứng dụng và tiện ích mở rộng trong 9 danh mục.

Một trình đánh cắp (stealer) có khả năng lấy dữ liệu từ trình quản lý mật khẩu và tiện ích 2FA cùng với thông tin đăng nhập đã lưu được thiết kế để thu thập các thông tin xác thực và phiên làm việc có thể tồn tại sau khi đặt lại mật khẩu. Việc nhắm vào các mục tiêu FTP và email đã đẩy nó vượt ra khỏi việc đánh cắp thông tin người tiêu dùng thông thường và xâm nhập vào các hệ thống doanh nghiệp mà các nhóm tài chính và vận hành nhỏ phụ thuộc vào hàng ngày.

Kỹ thuật ẩn mình tinh vi

OnyxC2 được kết hợp với một bộ công cụ truy cập từ xa và cung cấp HVNC qua trình duyệt web, đổ bộ nhớ LSASS, RunPE trong bộ nhớ và trên đĩa, proxy SOCKS5 ngược, chụp màn hình, trình ghi keylogger, trình quản lý tệp và shell ngược qua HTTP. Nó cũng có đường hầm TOR tích hợp và tải xuống bản build được mã hóa AES-256.

Khả năng lẩn trốn của OnyxC2 đã được BlackFog xác nhận. Cả hai kho lưu trữ phân phối đều sạch sẽ trên lần tải lên đầu tiên lên VirusTotal, và thành phần độc hại bên trong chúng vẫn không bị gắn cờ khi kiểm tra lần cuối vào ngày 30 tháng 5 năm 2026. Các bản tải xuống được mã hóa bằng AES256.

Bên trong bản build là một ứng dụng hợp lệ với chữ ký Authenticate hợp lệ. Trên VirusTotal, điều này cho thấy 0 lần phát hiện trên 71 công cụ quét. Nó được kết hợp với một tệp DLL ngụy tạo thành thư viện đồ họa NVIDIA, nhưng với phần độc hại được thêm vào cuối sau nội dung hợp lệ. Khi nạn nhân chạy cài đặt cho ứng dụng, nó sẽ tải DLL độc hại cùng lúc. Payload vẫn được mã hóa cho đến khi chạy – tức là hiệu quả khi trình đánh cắp được tải và bắt đầu quá trình thu thập dữ liệu.

Sự tồn tại của OnyxC2, giống như một sản phẩm phần mềm thương mại nhưng có mục đích độc hại, chứng minh rõ ràng rằng mối đe dọa từ các loại trình đánh cắp dữ liệu sẽ không biến mất. Thay vào đó, chúng đang ngày càng trở nên tinh vi và nguy hiểm hơn.