• Về CyStack
  • Sản phẩm
  • Dịch vụ
  • Dành cho doanh nghiệp
  • Công ty
  • Tài liệu
Trang chủHướng dẫnPhân tích chi tiết cơ chế hoạt động và kỹ thuật đánh cắp dữ liệu của Raccoon Stealer v2
Chuyên gia

Phân tích chi tiết cơ chế hoạt động và kỹ thuật đánh cắp dữ liệu của Raccoon Stealer v2

CyStack blog 11 phút để đọc
CyStack blog06/11/2025
Locker Avatar

2iauckr

Locker logo social
Reading Time: 11 minutes

Raccoon Stealer, còn được gọi là Mohazo hoặc Racealer, là phần mềm độc hại đánh cắp thông tin xuất hiện lần đầu vào năm 2019. Mã độc đã lây nhiễm cho hơn 100.000 thiết bị, từ các tổ chức đến cá nhân. Raccoon Stealer thực hiện các truy vấn SQL bằng sqlite3.dll để lấy mật khẩu đăng nhập tự động, thông tin thẻ tín dụng, cookie và lịch sử trình duyệt của người dùng. Raccoon Stealer thường được phát tán thông qua các cuộc tấn công lừa đảo. Mạng lưới đánh cắp thông tin Raccoon tạm thời đóng cửa vào năm 2022 nhưng đã hoạt động trở lại vào cuối năm đó.

Racoon Stealer phân tích cơ chế lây nhiễm và phòng ngừa

Raccoon Stealer hoạt động thế nào?

1. Xâm nhập thiết bị

  • Thông qua bộ công cụ khai thác: Bộ công cụ khai thác tự động khai thác lỗ hổng trên máy tính của nạn nhân khi họ đang duyệt web. Để triển khai Raccoon, kẻ tấn công lợi dụng bộ công cụ khai thác Fallout để tạo ra một phiên bản PowerShell từ Internet Explorer và sau đó tải xuống phần tải trọng chính của chương trình đánh cắp thông tin.
  • Thông qua tấn công lừa đảo” Kẻ tấn công sử dụng email có đính kèm tài liệu Word. Khi mở tài liệu Word và kích hoạt macro, mã macro sẽ tạo kết nối đến một tên miền độc hại và tải xuống phần mềm đánh cắp thông tin chính.
  • Thông qua các phần mềm giả mạo: Để triển khai Raccoon, kẻ tấn công sử dụng phần mềm hợp pháp được tích hợp với phần mềm đánh cắp thông tin chính để lây nhiễm cho những người dùng không hề hay biết. Raccoon tự cài đặt ở chế độ ẩn, không cho người dùng biết.

2. Thiết lập quyền kiểm soát

  • Khi mã độc được kích hoạt, nó sẽ thực thi các DLL để lấy được các chuỗi hardcode và sẽ giải mã các chuỗi đó để lấy được thông tin thiết lập giao tiếp với máy chủ điều khiển
  • Raccoon Stealer sẽ kiểm tra cài đặt cục bộ của máy mục tiêu và so sánh với danh sách các ngôn ngữ, bao gồm tiếng Nga, tiếng Ukraina,… Nếu cài đặt cục bộ của máy mục tiêu khớp với một trong những ngôn ngữ này, phần mềm độc hại sẽ ngay lập tức bị hủy
  • Tiếp theo thực hiện khởi tạo mutex để tránh chạy nhiều phiên bản cùng lúc. Kiểm tra xem tiến trình hiện tại có đang chạy với quyền Local system hay không.
  • Sau giai đoạn khởi tạo, phần mềm độc hại bắt đầu thiết lập kết nối đầu tiên của nó với máy chủ điều khiển và thực hiện tải về các DLL hợp pháp của bên thứ 3.
  • Raccoon Stealer sử dụng các tệp DLL mà nó tải xuống để truy cập vào dữ liệu nhạy cảm (chẳng hạn như cookie, thông tin thẻ tín dụng…) được lưu trong các trình duyệt chạy trên máy chủ bị nhiễm.

3. Thu thập dữ liệu và gửi dữ liệu

Sau khi đã “cắm rễ “thành công trong hệ thống, Raccoon bắt đầu giai đoạn quan trọng nhất thu thập thông tin, rà soát toàn bộ trình duyệt, ví tiền điện tử, ứng dụng email và các thư mục cá nhân để lấy dữ liệu giá trị nhất của người dùng

  • Dữ liệu được lưu trữ trong trình duyệt: thông tin đăng nhập, cookie, thông tin thẻ tín dụng,…
  • Dữ liệu của các tiện ích mở rộng ví trên trên trình duyệt
  • Dữ liệu của các phần mềm ví
  • Các tập tin cụ thể trong ổ đĩa
  • Dữ liệu liên quan đến Telegram
  • Ảnh chụp màn hình thiết bị bị nhiễm

Khi đã gom đủ “chiến lợi phẩm”, Raccoon không gửi ngay mọi thứ ra ngoài dưới dạng thô nó đóng gói, nén và mã hóa dữ liệu trước khi truyền về máy chủ chỉ huy

  • Raccoon lưu tất cả dữ liệu bị đánh cắp vào tệp zip và gửi thông tin đến máy chủ C2 của nó. Raccoon Stealer đánh cắp dữ liệu thu được về máy chủ C2 bằng cách thực hiện các yêu cầu
  • HTTP POST với các chuỗi user-agent bất thường. Các URL mà phần mềm độc hại sử dụng được xây dựng bằng mã thông báo nhận được trong cấu hình.

4. Ẩn mình

  • Tải trọng chính của Raccoon không được đóng gói và không có các biện pháp bảo vệ anti-VM và Anti Debugging . Tuy nhiên, nhóm Raccoon khuyến nghị sử dụng một trình mã hóa của bên thứ ba có tên GreenCrypt để tránh các phần mềm diệt vi-rút và bảo vệ chống lại việc phát hiện.
  • Raccoon Stealer sử dụng chuỗi được mã hóa RC4.
  • Raccoon Stealer có khả năng tải DLL thông qua LoadLibraryW và GetProcAddress
  • Sau khi thành công trong việc đánh cắp toàn bộ dữ liệu nhạy cảm, Raccoon xóa tệp nhị phân của nó khỏi máy nạn nhân. Raccoon tạo ra cmd.exe với ping.exe và thực hiện lệnh xóa.

Bây giờ khi đã hiểu rõ cách mã độc hoạt động, câu hỏi quan trọng là làm sao để nhận ra dấu hiệu bị nhiễm trước khi quá muộn?

Dấu hiệu nhận biết khi bị nhiễm Raccoon Stealer

Dấu hiệu nhận biết

Dấu hiệu Mô tả chi tiết
Hệ thống hoạt động bất thường Máy tính bỗng chạy chậm, giật lag dù không cài thêm phần mềm hay thay đổi cấu hình. Đây có thể là dấu hiệu mã độc đang âm thầm sử dụng tài nguyên hệ thống để thực thi các tác vụ đánh cắp dữ liệu.
Hoạt động mạng lạ Lưu lượng dữ liệu gửi đi tăng bất thường, đặc biệt vào thời điểm ngoài giờ làm việc. Đây là dấu hiệu khả nghi cho thấy mã độc đang exfiltrate dữ liệu về máy chủ chỉ huy (C2).
Đăng nhập tài khoản trái phép Xuất hiện cảnh báo đăng nhập từ vị trí hoặc thiết bị lạ. Điều này cho thấy thông tin đăng nhập có thể đã bị đánh cắp và đang bị sử dụng trái phép.
Dữ liệu tự điền (autofill) bị xâm phạm Mật khẩu hoặc dữ liệu lưu trên trình duyệt không còn hoạt động, hoặc có hoạt động lạ từ tài khoản sử dụng autofill. Đây là dấu hiệu mã độc đang khai thác thông tin trình duyệt.
Ứng dụng hoặc tệp lạ xuất hiện Hệ thống có file hoặc ứng dụng lạ mà bạn không hề tải hoặc cài đặt. Mã độc có thể đang giả dạng phần mềm hợp pháp để che giấu sự tồn tại của nó.
Cảnh báo từ phần mềm bảo mật Antivirus, IDS/IPS hoặc công cụ EDR cảnh báo hành vi đáng ngờ. Đây có thể là thời điểm mã độc bị phát hiện hoặc đang cố gắng né tránh giải pháp bảo mật.

Cách phát hiện

Phát hiện Raccoon Stealer không hề đơn giản, bởi mã độc này được thiết kế để ẩn mình và hoạt động âm thầm trong nền. Việc nắm rõ những biểu hiện đặc trưng và kỹ thuật kiểm tra phù hợp là bước đầu tiên để kịp thời phát hiện và ngăn chặn Raccoon trước khi dữ liệu bị đánh cắp.

Bước 1: Phân tích tiến trình và registry

  1. Mở Process Explorer hoặc Task Manager nâng cao để kiểm tra các tiến trình lạ:
    • Tìm kiếm các tên giả mạo trình duyệt, phần mềm dịch vụ và các tên lạ so với các phần mền đã cài
    • Kiểm tra các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp.
  2. Kiểm tra registry autorun:
    • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
    • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
    • Tìm các khóa mới, không rõ nguồn gốc trong 2 thư mục trên
  3. Tìm mutex lạ:
    • Mã độc tạo mutex để tránh chạy nhiều phiên bản, có thể kiểm tra điều này bằng Sysinternals hoặc EDR.

Bước 2: Giám sát lưu lượng mạng

  1. Dùng Wireshark, Zeek, hoặc công cụ SIEM để kiểm tra kết nối HTTP/HTTPS đến các IP hoặc domain lạ.
  2. Quan sát lưu lượng dữ liệu bất thường:
    • Dữ liệu gửi đi nhiều hơn bình thường, đặc biệt vào các khung giờ không phổ biến.
    • Traffic hướng đến các máy chủ ở quốc gia lạ hoặc domain mới đăng ký.

Bước 3: Phân tích file và hệ thống

  1. Kiểm tra các file thực thi trong thư mục:
    • %AppData%\\Roaming
    • %AppData%\\Local\\Temp
  2. So sánh hash file với cơ sở dữ liệu IoC từ:
    • VirusTotal
    • Threat intelligence feed từ Kaspersky, IBM, hoặc các nguồn mở khác.
  3. Xem các tệp liên quan đến ví tiền điện tử, trình duyệt có bị thay đổi hoặc sao chép không.

Bước 4: Phân tích hành vi

  1. Chạy file nghi ngờ trong sandbox hoặc VM để quan sát:
    • Xem file thực thi có thực hiện Hook API của trình duyệt hay thực hiện keylogging.
    • Kiểm tra xem có các bước tạo autorun, scheduled task.
    • Download module bổ sung từ C2.
  2. Quan sát các cơ chế anti-debug, anti-VM mà mã độc sử dụng.

Bước 5: Dùng YARA & Sigma rules

  1. Sử dụng YARA rule giúp phát hiện signature trong file, memory hoặc registry.
  2. Sử dụng Sigma rule giúp phát hiện hành vi mã độc trong Windows Event Log.
  3. Kết hợp YARA + Sigma với SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.

Bước 6: Sử dụng EDR / OSQuery nâng cao

  1. Tạo query giúp tìm kiếm nhanh:
    • Process lạ, mutex, registry key, network connection liên quan mã độc.
  2. Tạo query giúp tìm kiếm nhanh:
    • Process lạ, mutex, registry key, network connection liên quan mã độc.
  3. Dùng EDR để:
    • Tự động cảnh báo nếu xuất hiện hành vi malware.
    • Isolate host nghi ngờ trước khi malware lan rộng.

Bước 7: Cross-check với Threat Intelligence

  • So sánh các IoC, domain, IP, hash, mutex với feed từ Kaspersky, IBM X-Force, MalwareBazaar…
  • Xác nhận biến thể mã độc đang hoạt động và cập nhật phương án phòng ngừa.

Khi bạn đã xác định hoặc có căn cứ nghi ngờ máy bị nhiễm mã độc, bước tiếp theo không phải là cố gắng xóa ngay cho nhanh mà là cô lập, bảo toàn bằng chứng và thực hiện quy trình xử lý có phương pháp.

Loại bỏ & khôi phục hệ thống

Sau khi xác định hệ thống đã bị xâm nhập bởi Raccoon Stealer, bước tiếp theo là loại bỏ hoàn toàn mã độc và khôi phục hệ thống về trạng thái an toàn. Giai đoạn này đòi hỏi sự cẩn trọng bởi chỉ cần bỏ sót một tiến trình, tệp persistence hay cấu hình liên kết C2, mã độc có thể quay lại và tiếp tục đánh cắp dữ liệu.

1. Cô lập thiết bị

Khi đã xác định mã độc, ngắt ngay kết nối mạng (LAN/Wi-Fi) để ngăn malware gửi dữ liệu ra ngoài. Trong môi trường doanh nghiệp, tách host khỏi domain hoặc VLAN để malware không lây lan sang các máy khác.

Ghi lại thông tin IP, hostname và log mạng để phục vụ phân tích sau này nếu cần.

2. Dừng các tiến trình

Mở Process Explorer hoặc Task Manager nâng cao và terminate mọi tiến trình lạ liên quan mã độc.

Tập trung vào các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp hoặc những tiến trình giả danh phần mềm phổ biến.

3. Gỡ persistence

Mã độc thường tạo registry key và scheduled task để tự khởi động cùng hệ thống.

  • Xóa các key lạ tại:
    • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
    • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • Xóa tất cả scheduled task, mutex, service lạ mà malware tạo ra.Điều này đảm bảo mã độc không tự khởi động lại sau khi bị terminate.

4. Xóa file độc hại

Tìm và xóa các tệp thực thi, DLL hoặc script trong:

  • %AppData%\\Roaming
  • %AppData%\\Local\\Temp
  • Desktop, Downloads

So sánh hash file với IoC đã xác định để chắc chắn bạn chỉ xóa file liên quan mã độc.

5. Quét toàn bộ hệ thống

Chạy full scan với antivirus/EDR cập nhật mới nhất để phát hiện các tệp, registry key, hoặc tiến trình còn sót.

Kiểm tra Sysmon Event Log (EventID 1,3,10) để chắc chắn không còn dấu vết mã độc trong memory hoặc network.

6. Đổi mật khẩu & dọn trình duyệt

Ngay sau khi loại bỏ malware:

  • Thay đổi tất cả mật khẩu Windows, email, VPN, và các ứng dụng quan trọng.
  • Xóa cache, cookies, autofill trong trình duyệt.
  • Khôi phục dữ liệu từ backup sạch, đảm bảo không chứa malware.

7. Giám sát hậu xử lý

  • Giám sát lưu lượng mạng và tiến trình trong vài ngày tiếp theo.
  • Kiểm tra lại registry, scheduled task, mutex, services để đảm bảo không còn dấu vết mã độc.

8. Rebuild hệ thống nếu cần

  • Nếu mã độc đã xâm nhập sâu hoặc nghi ngờ có backdoor, rebuild toàn bộ OS là phương án an toàn nhất.
  • Cài lại hệ điều hành, patch đầy đủ, cài phần mềm bảo mật trước khi khôi phục dữ liệu từ backup.
  • Theo dõi hệ thống trong ít nhất 1–2 tuần để đảm bảo không còn dấu hiệu tái nhiễm.

5. Phòng chống & giảm thiểu rủi ro

Cách phòng chống mã độc cho cá nhân

  1. Lưu trữ mật khẩu an toàn
    • Đừng lưu mật khẩu trực tiếp trên trình duyệt.
    • Sử dụng password manager được mã hóa, như Locker, để quản lý mật khẩu một cách an toàn.
  2. Xác thực đa yếu tố
    • Sử dụng xác thực 2FA với các dịch vụ quan trọng
  3. Chỉ tải phần mềm từ nguồn đáng tin cậy
    • Tránh cài đặt phần mềm lậu hoặc từ nguồn không xác thực.
    • Chỉ tải phần mềm từ trang chính thức của nhà cung cấp, ví dụ: Microsoft, Adobe, hoặc các nhà phát triển uy tín khác.
  4. Cập nhật hệ thống và ứng dụng thường xuyên
    • Luôn cài đặt bản cập nhật mới nhất cho hệ điều hành, ứng dụng và phần mềm bảo mật.
    • Các patch bảo mật thường vá các lỗ hổng mà malware có thể khai thác.
  5. Sử dụng phần mềm bảo mật và quét định kỳ
    • Cài antivirus/anti-malware và giữ phần mềm luôn được cập nhật cùng với cơ sở dữ liệu định nghĩa virus mới nhất.
    • Thường xuyên quét toàn bộ hệ thống và các file nhận được từ email, USB hoặc tải xuống internet.
  6. Báo cáo hành vi đáng ngờ
    • Nếu phát hiện đăng nhập trái phép, giao dịch không xác nhận, hay hành vi bất thường, hãy thông báo ngay với bộ phận IT hoặc bảo mật của tổ chức, hoặc các cơ quan chức năng liên quan.
    • Hành động nhanh giúp hạn chế rủi ro và ngăn malware lây lan hoặc đánh cắp thêm dữ liệu.

Cách phòng chống mã độc cho tổ chức

  1. Vô hiệu hóa các cổng và giao thức không cần thiết
    • Tắt các dịch vụ như Telnet, Microsoft RPC, FTP nếu không cần thiết cho hoạt động kinh doanh, giảm bề mặt tấn công cho malware như mã độc.
  2. Cô lập thiết bị dùng hệ điều hành cũ
    • Nếu không thể cập nhật patch bảo mật cho các thiết bị legacy, cô lập chúng khỏi mạng chính để hạn chế rủi ro lây nhiễm.
  3. Quản lý tài khoản người dùng và hạn chế quyền truy cập
    • Giám sát toàn bộ tài khoản và vô hiệu hóa tài khoản không hoạt động.
    • Khi nhận thông tin rằng tài khoản bị rò rỉ, yêu cầu cập nhật mật khẩu ngay lập tức.
    • Chỉ cấp quyền quản trị (privileged access) cho nhân sự được phép.
    • Giám sát chặt chẽ các tài khoản này để giảm rủi ro bị lợi dụng hoặc xâm phạm.
  4. Đào tạo nhân viên về phishing và tấn công mạng
    • Thường xuyên tổ chức training, giúp nhân viên nhận biết và phản ứng với email lừa đảo, URL độc hại, file đính kèm đáng ngờ.
  5. Ghi log các sự kiện trong hệ thống và tích hợp với SIEM
    • Kích hoạt logging đầy đủ: Sysmon, DNS logs, proxy logs, EDR telemetry để phục vụ phát hiện sớm hoặc điều tra hậu nhiễm.
    • Tích hợp SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.
  6. Sử dụng giải pháp EDR và bảo mật email và web
    • Cài Endpoint Detection and Response (EDR) trên thiết bị người dùng cuối để giám sát liên tục, phát hiện và phản ứng với các mối đe dọa.
    • Triển khai bộ lọc bảo mật email mạnh mẽ để phát hiện email lừa đảo có chứa trình tải mã độc hoặc liên kết. Chặn hoặc cách ly email có tệp đính kèm .exe, .scr hoặc tệp đính kèm bất thường trừ khi thực sự cần thiết.
    • Triển khai bộ lọc DNS và URL để chặn truy cập vào các tên miền/IP độc hại đã biết và các danh mục như trang web vi phạm bản quyền hoặc tên miền mới xuất hiện.
  7. Giám sát lưu lượng mạng
    • Theo dõi kỹ lưu lượng inbound và outbound để phát hiện các kết nối lạ hoặc các dữ liệu bị exfiltrate.
    • Chú ý các Indicators of Compromise (IoC) liên quan mã độc Stealer, ví dụ: kết nối đến domain/IP nghi ngờ hoặc POST request mã hóa.

6 Kết luận

Raccoon Stealer đã gây tiếng vang lớn trong cộng đồng ngầm vào năm 2019 khi lần đầu tiên được phát hành. Mặc dù đã tồn tại trong nhiều năm, phần mềm độc hại này vẫn phổ biến và đã lây nhiễm thành công một số lượng lớn thiết bị.

Tóm lại, Raccoon nhắc chúng ta rằng an ninh hiệu quả là sự kết hợp của công nghệ, quy trình và con người, phát hiện sớm bằng hành vi, phản ứng có tổ chức và phòng ngừa liên tục sẽ giảm thiểu rủi ro mất dữ liệu ngay cả trước những mã độc ngày càng tinh vi.

Nếu bạn quan tâm về các loại info stealer, mời bạn xem thêm các bài viết:

0 Bình luận

Đăng nhập để thảo luận

Chuyên mục Hướng dẫn

Tổng hợp các bài viết hướng dẫn, nghiên cứu và phân tích chi tiết về kỹ thuật, các xu hướng công nghệ mới nhất dành cho lập trình viên.

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.

Đăng ký nhận Newsletter

Nhận các nội dung hữu ích mới nhất