Trong thời gian gần đây, các chiến dịch phát tán mã độc đánh cắp thông tin (Info Stealer) gia tăng cả về số lượng và mức độ tinh vi. Tội phạm mạng ngày càng tập trung thu thập dữ liệu đăng nhập, cookie phiên, thông tin ví điện tử và dữ liệu định danh nhằm chiếm quyền truy cập trái phép, thực hiện gian lận tài chính hoặc mở rộng tấn công vào hệ thống nội bộ. Qua quá trình giám sát và phân tích mối đe dọa, nhóm chuyên gia an toàn thông tin của công ty HPT ghi nhận mã độc Vietnamese Stealer – một Info Stealer được phát triển bằng ngôn ngữ Python và sử dụng nền tảng Telegram làm kênh điều khiển, thu thập dữ liệu (C&C). Bài báo sẽ phân tích đặc điểm hoạt động của mã độc này và đưa ra các khuyến nghị phòng thủ từ HPT.
Vietnamese Stealer là gì?
Vietnamese Stealer là một dòng mã độc đánh cắp thông tin được phát hiện trong các chiến dịch tấn công nhắm vào người dùng và tổ chức tại Việt Nam. Mã độc này được phát triển bằng Python, sử dụng Telegram làm kênh điều khiển và nhận dữ liệu (Command & Control - C&C).
Thay vì phá hoại hệ thống, Vietnamese Stealer tập trung thu thập thông tin đăng nhập trình duyệt, cookie phiên làm việc, dữ liệu ví tiền điện tử và một số tệp cấu hình nhạy cảm. Những dữ liệu này có thể bị khai thác trực tiếp để chiếm đoạt tài khoản và tài sản số.
Theo ghi nhận từ các hãng bảo mật quốc tế như Kaspersky, số vụ tấn công bằng mã độc đánh cắp thông tin tại Việt Nam trong nửa đầu năm 2025 tăng 78,8%, với gần 192.000 trường hợp bị chặn. Xu hướng này cho thấy Info Stealer đang trở thành một trong những mối đe dọa nổi bật trên không gian mạng trong nước.
Bối cảnh gia tăng của mã độc Info Stealer tại Việt Nam:
Trong giai đoạn 2024 - 2025, thị trường ngầm (underground market) ghi nhận sự gia tăng mạnh của các bộ công cụ stealer viết bằng Python và Golang, được rao bán theo mô hình MaaS (Malware-as-a-Service).
Đặc điểm chung của các chiến dịch tại Việt Nam gồm:
- Tấn công qua email giả mạo hóa đơn, chứng từ thuế.
- Lợi dụng tâm lý chủ quan khi mở tệp đính kèm.
- Sử dụng nền tảng hợp pháp như Telegram để che giấu hoạt động C&C.
- Nội địa hóa nội dung bằng tiếng Việt hoặc tiếng Hàn Quốc nhằm tăng tỷ lệ mở tệp.
Việc sử dụng Telegram làm kênh điều khiển giúp kẻ tấn công:
- Tránh phải duy trì hạ tầng máy chủ riêng.
- Ẩn danh nhờ cơ chế bot và API công khai.
- Thay đổi endpoint linh hoạt mà không cần cập nhật lại mã độc.
Quy trình tấn công của mã độc Vietnamese Stealer:
Chiến dịch tấn công của Vietnamese Stealer diễn ra qua 3 giai đoạn tinh vi:
Giai đoạn 1: Khai thác lỗ hổng DLL Side loading trên ứng dụng lành tính nhằm triển khai mã độc py.ico
Mã độc khai thác kỹ thuật DLL Side-loading thông qua tệp hợp pháp ADNotificationManager.exe. Nhóm hacker sử dụng DLL độc hại urlmon.dll làm bàn đạp để vận chuyển các lệnh tấn công, áp dụng kỹ thuật xã hội bằng cách gửi các Email lừa đảo chứa tệp nén giả dạng hóa đơn VAT tiếng Hàn (ví dụ: 부가가치세 영수증.jpg). Khi nạn nhân mở tệp, một tệp PDF mồi sẽ hiển thị để tạo cảm giác hợp lệ (Decoy Execution), trong khi mã độc âm thầm tải payload chính từ các máy chủ bên ngoài bằng lệnh curl.
Hình 1. Giai đoạn triển khai Dropper/Loader ban đầu
Giai đoạn 2: Duy trì hiện diện lâu dài (Persistence) trên hệ thống thông qua Scheduled Task và tải xuống mã độc tại Stage 2 thông qua mã độc py.ico.
Mã độc tạo ra một tác vụ mang tên MicrosoftEdgeUpdateTaskMachine, ngụy trang dưới dạng bản cập nhật của Microsoft Edge để tránh bị phát hiện. Tác vụ này được cấu hình để kích hoạt mỗi khi người dùng đăng nhập hoặc định kỳ hàng giờ.
Giai đoạn 3:Thu thập và vận chuyển dữ liệu
Vietnamese Stealer trích xuất các thông tin nhạy cảm từ trình duyệt và ví điện tử rồi gửi về kênh Telegram của hacker.
Hình 2. Sơ bộ quy trình
Mức độ tinh vi còn nằm ở khả năng che giấu. Mã độc được bảo vệ qua nhiều lớp rối mã, giải nén và mã hóa phức tạp, khiến các công cụ phát hiện truyền thống khó nhận diện. Đặc biệt, cơ chế thay đổi linh hoạt máy chủ điều khiển thông qua thông tin công khai trên Telegram cho phép đối tượng điều hướng dòng dữ liệu mà không cần cập nhật lại mã trên thiết bị đã nhiễm. Điều này làm tăng đáng kể khả năng né tránh truy vết.
Nguy cơ đối với doanh nghiệp Việt Nam
Mã độc đánh cắp thông tin tạo ra rủi ro ở cả cấp độ cá nhân lẫn tổ chức:
- Chiếm đoạt tài khoản email doanh nghiệp
- Lạm dụng tài khoản ngân hàng trực tuyến
- Tấn công chuỗi cung ứng qua tài khoản hợp pháp
- Rò rỉ dữ liệu khách hàng và bí mật kinh doanh
Đối với doanh nghiệp, thiệt hại không dừng ở tài chính mà sẽ ảnh hưởng trực tiếp đến uy tín và tuân thủ pháp lý.
Trước xu hướng gia tăng của Info Stealer, doanh nghiệp cần triển khai mô hình phòng thủ nhiều lớp:
- Cập nhật bản vá hệ điều hành và ứng dụng định kỳ
- Triển khai EDR/XDR có khả năng giám sát hành vi
- Giám sát lưu lượng truy cập bất thường tới Telegram Bot API
- Thực hiện kiểm thử xâm nhập định kỳ
- Đào tạo nhận thức an toàn thông tin cho nhân viên
Việc kết hợp công nghệ giám sát 24x7 với chương trình nâng cao nhận thức người dùng giúp giảm đáng kể nguy cơ lây nhiễm từ các chiến dịch lừa đảo qua email.
Giải pháp phòng thủ toàn diện từ HPT
Để chủ động bảo vệ doanh nghiệp trước các mối đe dọa ngày càng tinh vi, HPT cung cấp hệ sinh thái dịch vụ bảo mật hướng tới doanh nghiệp:
- Dịch vụ Kiểm thử xâm nhập (Penetration Testing): Giả lập tấn công để phát hiện các điểm yếu trên bề mặt hệ thống của tổ chức trước khi kẻ xấu khai thác.
- Dịch vụ Giám sát an toàn thông tin 24x7 (SOC): Theo dõi liên tục, phát hiện và ngăn chặn các hành vi tấn công đáng ngờ trên các máy chủ và máy tính người dùng.
- Dịch vụ Tư vấn bảo mật: Xây dựng quy trình sao lưu (backup) theo chuẩn 3-2-1 và diễn tập phục hồi, đảm bảo dữ liệu luôn an toàn và sẵn sàng.
- Dịch vụ Đánh giá và đào tạo nhận thức người dùng (Email Phishing): Củng cố "bức tường lửa con người", lớp phòng thủ quan trọng nhất của doanh nghiệp.
Sự xuất hiện của các dòng mã độc đánh cắp thông tin như Vietnamese Stealer cho thấy xu hướng tội phạm mạng đang chuyển dịch mạnh sang việc khai thác dữ liệu số và tài khoản trực tuyến. Với kỹ thuật phát tán tinh vi, khả năng che giấu cao và tận dụng các nền tảng hợp pháp như Telegram để điều khiển, loại mã độc này đặt ra nhiều thách thức cho công tác phòng thủ của doanh nghiệp. Do đó, các tổ chức cần chủ động xây dựng mô hình bảo mật nhiều lớp, kết hợp giữa công nghệ giám sát, kiểm thử định kỳ và nâng cao nhận thức người dùng, nhằm phát hiện sớm và giảm thiểu rủi ro từ các chiến dịch tấn công ngày càng phức tạp trên không gian mạng.