Mystic Stealer là gì?

Mystic Stealer là mã độc đánh cắp thông tin (infostealer) được phát hiện từ tháng 4/2023, hoạt động theo mô hình Malware-as-a-Service (MaaS). Nó thu thập dữ liệu từ trình duyệt, ví tiền điện tử, Steam và nhiều tệp cá nhân trên máy nạn nhân.

Mystic Stealer lây nhiễm vào thiết bị như thế nào?

Mã độc phát tán qua bộ công cụ khai thác, email lừa đảo (phishing) hoặc phần mềm giả mạo. Khi nạn nhân mở tệp hoặc chạy phần mềm chứa payload, Mystic tự cài đặt ẩn trong hệ thống mà không hiển thị dấu hiệu rõ ràng.

Mystic Stealer hoạt động và kiểm soát hệ thống ra sao?

Sau khi kích hoạt, Mystic giải mã chuỗi hardcode, thiết lập kết nối đến máy chủ điều khiển (C2), kiểm tra ngôn ngữ hệ thống để loại trừ khu vực CIS, và tạo registry key hoặc scheduled task để tự khởi động cùng Windows.

Mystic Stealer đánh cắp dữ liệu gì?

Mystic Stealer thu thập thông tin đăng nhập, cookie, dữ liệu ví tiền điện tử, Telegram, file cá nhân và chụp ảnh màn hình. Toàn bộ dữ liệu được mã hóa Base64 và gửi về máy chủ điều khiển thông qua HTTP POST.

Mystic Stealer ẩn mình bằng cách nào?

Mystic sử dụng kỹ thuật anti-VM, obfuscation bằng thư viện giống ADVobfuscator, mã hóa XTEA tùy chỉnh và chỉ hoạt động trong bộ nhớ (fileless) để tránh bị phát hiện. Nó cũng hạn chế thực thi trên các bản build cũ để né phân tích của chuyên gia.

Làm sao nhận biết máy tính bị nhiễm Mystic Stealer?

Dấu hiệu bao gồm máy chạy chậm bất thường, xuất hiện kết nối mạng lạ, đăng nhập trái phép, mật khẩu tự điền bị lỗi, file/ứng dụng lạ xuất hiện, hoặc cảnh báo từ EDR/antivirus. Cần kiểm tra tiến trình, registry và traffic mạng để xác minh.

Cách loại bỏ và khôi phục sau khi bị nhiễm Mystic Stealer?

Ngắt mạng, cô lập thiết bị, dừng tiến trình lạ, xóa registry key và scheduled task đáng ngờ, quét toàn bộ hệ thống bằng EDR, đổi toàn bộ mật khẩu, dọn cache trình duyệt, giám sát log mạng và rebuild OS nếu nghi ngờ có backdoor.

Cách phòng chống Mystic Stealer cho cá nhân và doanh nghiệp?

Cá nhân: dùng password manager, bật 2FA, không cài phần mềm lậu, cập nhật hệ thống và antivirus. Doanh nghiệp: triển khai EDR, SIEM, WAF, chặn bot, giám sát IoC, đào tạo chống phishing và dùng giải pháp Data Leak Detection (DLD) để giám sát rò rỉ dữ liệu.

Về CyStack

Sản phẩm
Sản phẩm của CyStack
Khám phá bộ công cụ bảo mật trọn gói của CyStack để bảo vệ doanh nghiệp toàn diện, bao gồm dò quét web app, quản lý thiết bị và bảo vệ dữ liệu.
CyStack VulnScan
Phổ biến
Giám sát bảo mật ứng dụng web bằng các phương pháp dò quét tường lửa ngoài. Phát hiện lỗ hổng, quản lý danh sách & chứng chỉ dễ dàng.
Locker Secrets Manager
Mới
Bảo mật tokens, mật khẩu, chứng chỉ, và khóa bằng UI, CLI hoặc SDK trực quan.
SafeChain Blockchain Security
Dò quét và giám sát hợp đồng thông minh blockchain. Xác định các lỗ hổng và nhận thông báo nếu phát hiện token bất thường.
Locker Password Manager
Lưu trữ mật khẩu an toàn, quản lý dữ liệu nhạy cảm (secrets) và cho phép đăng nhập chỉ với một cú nhấp chuột.
CyStack Endpoint
Mới
Theo dõi thiết bị nâng cao, quản lý từ xa và kiểm soát quyền truy cập dành cho doanh nghiệp ở mọi quy mô.
WhiteHub Bug Bounty
Ứng dụng phương pháp Crowdsourced Security với cộng đồng gồm 3000+ hackers mũ trắng.
CyStack Trust Center
Đơn giản hóa việc thể hiện cam kết an ninh mạng của doanh nghiệp. Tự động tạo trang profile bảo mật chuyên dụng được tích hợp với tên miền.
CyStack Data Leak Detection
Bảo vệ thương hiệu và thông tin khách hàng bằng cách nhanh chóng phát hiện rò rỉ dữ liệu, tránh thiệt hại về hình ảnh, tài chính và pháp lý.
Dịch vụ
Security Assessment
Security Operations
Security Consulting
Bảo mật Blockchain
Dành cho doanh nghiệp
Theo Use Case
Startup
Tuân thủ Nghị định 13
Ứng phó với Ransomware
Kiểm thử bảo mật
An toàn vận hành
Bảo mật dữ liệu
Tuân thủ bảo mật
Bảo mật Blockchain
Theo lĩnh vực
Khu vực công
Dịch vụ tài chính
Thương mại điện tử
Y tế
Doanh nghiệp Blockchain
Bạn đang tìm kiếm điều gì?
Chúng tôi mang đến cho bạn những thông tin mới nhất, xu hướng và kiến thức sâu sắc về thế giới công nghệ luôn đổi mới. Đồng hành với chúng tôi và khám phá sức mạnh của kỷ nguyên kỹ thuật số.
Công ty
Tài liệu

English EN

Tiếng Việt VI

Trang chủ Hướng dẫnMystic Stealer: Phân tích chi tiết cách hoạt động và cơ chế ẩn mình của một infostealer thế hệ mới

Chuyên gia

Mystic Stealer: Phân tích chi tiết cách hoạt động và cơ chế ẩn mình của một infostealer thế hệ mới

10 phút để đọc

03/11/2025

2iauckr

Reading Time: 10 minutes

1 Tổng quan

Bức tranh an ninh mạng toàn cầu đang không ngừng thay đổi, mang đến nhiều thách thức mới cho cả cá nhân lẫn tổ chức. Trong bối cảnh đó, một dòng mã độc mới có tên Mystic Stealer đã nổi lên như một mối đe dọa đáng chú ý trên không gian số.

Lần đầu được phát hiện vào tháng 4 năm 2023, Mystic Stealer là một dạng malware đánh cắp thông tin (infostealer) được phát triển và phân phối theo mô hình Malware-as-a-Service (MaaS)

Mystic Stealer mã độc thế hệ mới, cách hoạt động và phòng tránh

Mystic Stealer thu thập dữ liệu từ nhiều trình duyệt web và các ứng dụng ví tiền điện tử, đồng thời có thể lấy thông tin đăng nhập Steam và bất kỳ tệp nào có giá trị trên hệ thống bị nhiễm.

2 Cách thức hoạt đông

1 Xâm nhập thiết bị

Thông qua bộ công cụ khai thác
- Bộ công cụ khai thác tự động khai thác lỗ hổng trên máy tính của nạn nhân khi họ đang duyệt web sau đó tải xuống phần tải trọng chính của chương trình đánh cắp thông tin.
Thông qua tấn công lừa đảo
- Kẻ tấn công sử dụng email có đính kèm tệp đính kèm (ZIP/ISO/EXE/VBS) hoặc link đưa đến trang tải payload dụ người nhận tải xuống phần mềm đánh cắp thông tin.
Thông qua các phần mềm giả mạo
- Kẻ tấn công sử dụng phần mềm hợp pháp được tích hợp với phần mềm đánh cắp thông tin chính để lây nhiễm cho những người dùng không hề hay biết. Mystic tự cài đặt ở chế độ ẩn, không cho người dùng biết.

2 Thiết lập quyền kiểm soát

Khi mã độc được kích hoạt, nó sẽ thực thi các DLL để lấy được các chuỗi hardcode và sẽ giải mã các chuỗi đó để lấy được thông tin thiết lập giao tiếp với máy chủ điều khiển
Mystic bao gồm một tính năng kiểm tra ngôn ngữ để loại trừ các máy tính được thiết lập bằng ngôn ngữ của Cộng đồng các Quốc gia Độc lập (CIS).
Tự động tạo registry key hoặc scheduled task để khởi động cùng hệ thống.

3 Thu thập dữ liệu và gửi dữ liệu

Khi đã chiếm được hệ thống, bước tiếp theo của Mystic là thu thập càng nhiều thông tin giá trị càng tốt.

Dữ liệu được lưu trữ trong trình duyệt: thông tin đăng nhập, cookie, thông tin thẻ tín dụng, v.v.
Dữ liệu của các tiện ích mở rộng ví trên trên trình duyệt
Dữ liệu của các phần mềm ví
Các tập tin cụ thể trong ổ đĩa
Dữ liệu liên quan đến Telegram
Ảnh chụp màn hình thiết bị bị nhiễm

Sau khi thu thập được những gì kẻ tấn công mong muốn mã độc sẽ thực hiện gửi dữ liệu về cho máy chủ điều khiển

Dữ liệu được gửi trong HTTP POST được mã hóa theo chuẩn Base64

4 Ẩn mình

Mystic có các biện pháp bảo vệ anti-VM và thực hiện làm rối chuỗi bằng một thư viện rất giống với ADVobfuscator
Phần mềm độc hại được lập trình để ngăn chặn việc thực thi trên các bản dựng cũ hơn một ngày cụ thể, nhằm hạn chế việc tiếp cận các nhà nghiên cứu bảo mật.
Mystic sử dụng chuỗi được mã hóa dựa trên thuật toán tùy chỉnh XTEA.
Mystic hoạt động trong bộ nhớ để tránh bị phát hiện và sử dụng các lệnh gọi hệ thống để xâm phạm mục tiêu

Bây giờ khi đã hiểu rõ cách mã độc hoạt động, câu hỏi quan trọng là làm sao để nhận ra dấu hiệu bị nhiễm trước khi quá muộn?

3 Dấu hiệu nhận biết & cách phát hiện

Dấu hiệu nhận biết

Dấu hiệu	Mô tả chi tiết
Hệ thống hoạt động bất thường	Máy tính bỗng chạy chậm, giật lag dù không cài thêm phần mềm hay thay đổi cấu hình. Đây có thể là dấu hiệu mã độc đang âm thầm sử dụng tài nguyên hệ thống để thực thi các tác vụ đánh cắp dữ liệu.
Hoạt động mạng lạ	Lưu lượng dữ liệu gửi đi tăng bất thường, đặc biệt vào thời điểm ngoài giờ làm việc. Đây là dấu hiệu khả nghi cho thấy mã độc đang exfiltrate dữ liệu về máy chủ chỉ huy (C2).
Đăng nhập tài khoản trái phép	Xuất hiện cảnh báo đăng nhập từ vị trí hoặc thiết bị lạ. Điều này cho thấy thông tin đăng nhập có thể đã bị đánh cắp và đang bị sử dụng trái phép.
Dữ liệu tự điền (autofill) bị xâm phạm	Mật khẩu hoặc dữ liệu lưu trên trình duyệt không còn hoạt động, hoặc có hoạt động lạ từ tài khoản sử dụng autofill. Đây là dấu hiệu mã độc đang khai thác thông tin trình duyệt.
Ứng dụng hoặc tệp lạ xuất hiện	Hệ thống có file hoặc ứng dụng lạ mà bạn không hề tải hoặc cài đặt. Mã độc có thể đang giả dạng phần mềm hợp pháp để che giấu sự tồn tại của nó.
Cảnh báo từ phần mềm bảo mật	Antivirus, IDS/IPS hoặc công cụ EDR cảnh báo hành vi đáng ngờ. Đây có thể là thời điểm mã độc bị phát hiện hoặc đang cố gắng né tránh giải pháp bảo mật.

Cách phát hiện

Việc nắm rõ những biểu hiện đặc trưng và kỹ thuật kiểm tra phù hợp là bước đầu tiên để kịp thời phát hiện và ngăn chặn mã độc trước khi dữ liệu bị đánh cắp.

Bước 1: Phân tích tiến trình và registry

Mở Process Explorer hoặc Task Manager nâng cao để kiểm tra các tiến trình lạ:
- Tìm kiếm các tên giả mạo trình duyệt, phần mềm dịch vụ và các tên lạ so với các phần mền đã cài
- Kiểm tra các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp.
Kiểm tra registry autorun:
- HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
- HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
- Tìm các khóa mới, không rõ nguồn gốc trong 2 thư mục trên
Tìm mutex lạ:
- Mã độc tạo mutex để tránh chạy nhiều phiên bản, có thể kiểm tra điều này bằng Sysinternals hoặc EDR.

Bước 2: Giám sát lưu lượng mạng

Dùng Wireshark, Zeek, hoặc công cụ SIEM để kiểm tra kết nối HTTP/HTTPS đến các IP hoặc domain lạ.
Quan sát lưu lượng dữ liệu bất thường:
- Dữ liệu gửi đi nhiều hơn bình thường, đặc biệt vào các khung giờ không phổ biến.
- Traffic hướng đến các máy chủ ở quốc gia lạ hoặc domain mới đăng ký.

Bước 3: Phân tích file và hệ thống

Kiểm tra các file thực thi trong thư mục:
- %AppData%\\Roaming
- %AppData%\\Local\\Temp
So sánh hash file với cơ sở dữ liệu IoC từ:
- VirusTotal
- Threat intelligence feed từ Kaspersky, IBM, hoặc các nguồn mở khác.
Xem các tệp liên quan đến ví tiền điện tử, trình duyệt có bị thay đổi hoặc sao chép không.

Bước 4: Phân tích hành vi

Chạy file nghi ngờ trong sandbox hoặc VM để quan sát:
- Xem file thực thi có thực hiện Hook API của trình duyệt hay thực hiện keylogging.
- Kiểm tra xem có các bước tạo autorun, scheduled task.
- Download module bổ sung từ C2.
Quan sát các cơ chế anti-debug, anti-VM mà mã độc sử dụng.

Bước 5: Dùng YARA & Sigma rules

Sử dụng YARA rule giúp phát hiện signature trong file, memory hoặc registry.
Sử dụng Sigma rule giúp phát hiện hành vi mã độc trong Windows Event Log.
Kết hợp YARA + Sigma với SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.

Bước 6: Sử dụng EDR / OSQuery nâng cao

Tạo query giúp tìm kiếm nhanh:
- Process lạ, mutex, registry key, network connection liên quan mã độc.
Tạo query giúp tìm kiếm nhanh:
- Process lạ, mutex, registry key, network connection liên quan mã độc.
Dùng EDR để:
- Tự động cảnh báo nếu xuất hiện hành vi malware.
- Isolate host nghi ngờ trước khi malware lan rộng.

Bước 7: Cross-check với Threat Intelligence

So sánh các IoC, domain, IP, hash, mutex với feed từ Kaspersky, IBM X-Force, MalwareBazaar…
Xác nhận biến thể mã độc đang hoạt động và cập nhật phương án phòng ngừa.

Khi bạn đã xác định hoặc có căn cứ nghi ngờ máy bị nhiễm mã độc, bước tiếp theo không phải là cố gắng xóa ngay cho nhanh mà là cô lập, bảo toàn bằng chứng và thực hiện quy trình xử lý có phương pháp.

4 Loại bỏ & khôi phục hệ thống

Sau khi xác định hệ thống đã bị xâm nhập bởi, bước tiếp theo là loại bỏ hoàn toàn mã độc và khôi phục hệ thống về trạng thái an toàn. Giai đoạn này đòi hỏi sự cẩn trọng bởi chỉ cần bỏ sót một tiến trình, tệp persistence hay cấu hình liên kết C2, mã độc có thể quay lại và tiếp tục đánh cắp dữ liệu.

1. Cô lập thiết bị

Khi đã xác định mã độc, ngắt ngay kết nối mạng (LAN/Wi-Fi) để ngăn malware gửi dữ liệu ra ngoài. Trong môi trường doanh nghiệp, tách host khỏi domain hoặc VLAN để malware không lây lan sang các máy khác.

Ghi lại thông tin IP, hostname và log mạng để phục vụ phân tích sau này nếu cần.

2. Dừng các tiến trình

Mở Process Explorer hoặc Task Manager nâng cao và terminate mọi tiến trình lạ liên quan mã độc.

Tập trung vào các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp hoặc những tiến trình giả danh phần mềm phổ biến.

3. Gỡ persistence

Mã độc thường tạo registry key và scheduled task để tự khởi động cùng hệ thống.

Xóa các key lạ tại:
- HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
- HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Xóa tất cả scheduled task, mutex, service lạ mà malware tạo ra.Điều này đảm bảo mã độc không tự khởi động lại sau khi bị terminate.

4. Xóa file độc hại

Tìm và xóa các tệp thực thi, DLL hoặc script trong:

%AppData%\\Roaming
%AppData%\\Local\\Temp
Desktop, Downloads

So sánh hash file với IoC đã xác định để chắc chắn bạn chỉ xóa file liên quan mã độc.

5. Quét toàn bộ hệ thống

Chạy full scan với antivirus/EDR cập nhật mới nhất để phát hiện các tệp, registry key, hoặc tiến trình còn sót.

Kiểm tra Sysmon Event Log (EventID 1,3,10) để chắc chắn không còn dấu vết mã độc trong memory hoặc network.

6. Đổi mật khẩu & dọn trình duyệt

Ngay sau khi loại bỏ malware:

Thay đổi tất cả mật khẩu Windows, email, VPN, và các ứng dụng quan trọng.
Xóa cache, cookies, autofill trong trình duyệt.
Khôi phục dữ liệu từ backup sạch, đảm bảo không chứa malware.

7. Giám sát hậu xử lý

Giám sát lưu lượng mạng và tiến trình trong vài ngày tiếp theo.
Kiểm tra lại registry, scheduled task, mutex, services để đảm bảo không còn dấu vết mã độc.

8. Rebuild hệ thống nếu cần

Nếu mã độc đã xâm nhập sâu hoặc nghi ngờ có backdoor, rebuild toàn bộ OS là phương án an toàn nhất.

Cài lại hệ điều hành, patch đầy đủ, cài phần mềm bảo mật trước khi khôi phục dữ liệu từ backup.

Theo dõi hệ thống trong ít nhất 1–2 tuần để đảm bảo không còn dấu hiệu tái nhiễm.

5. Phòng chống & giảm thiểu rủi ro

Cách phòng chống mã độc cho cá nhân

Lưu trữ mật khẩu an toàn
- Đừng lưu mật khẩu trực tiếp trên trình duyệt.
- Sử dụng password manager được mã hóa, như Locker, để quản lý mật khẩu một cách an toàn.
Xác thực đa yếu tố
- Sử dụng xác thực 2FA với các dịch vụ quan trọng
Chỉ tải phần mềm từ nguồn đáng tin cậy
- Tránh cài đặt phần mềm lậu hoặc từ nguồn không xác thực.
- Chỉ tải phần mềm từ trang chính thức của nhà cung cấp, ví dụ: Microsoft, Adobe, hoặc các nhà phát triển uy tín khác.
Cập nhật hệ thống và ứng dụng thường xuyên
- Luôn cài đặt bản cập nhật mới nhất cho hệ điều hành, ứng dụng và phần mềm bảo mật.
- Các patch bảo mật thường vá các lỗ hổng mà malware có thể khai thác.
Sử dụng phần mềm bảo mật và quét định kỳ
- Cài antivirus/anti-malware và giữ phần mềm luôn được cập nhật cùng với cơ sở dữ liệu định nghĩa virus mới nhất.
- Thường xuyên quét toàn bộ hệ thống và các file nhận được từ email, USB hoặc tải xuống internet.
Báo cáo hành vi đáng ngờ
- Nếu phát hiện đăng nhập trái phép, giao dịch không xác nhận, hay hành vi bất thường, hãy thông báo ngay với bộ phận IT hoặc bảo mật của tổ chức, hoặc các cơ quan chức năng liên quan.
- Hành động nhanh giúp hạn chế rủi ro và ngăn malware lây lan hoặc đánh cắp thêm dữ liệu.

Cách phòng chống mã độc cho tổ chức

Vô hiệu hóa các cổng và giao thức không cần thiết
- Tắt các dịch vụ như Telnet, Microsoft RPC, FTP nếu không cần thiết cho hoạt động kinh doanh, giảm bề mặt tấn công cho malware như mã độc.
Cô lập thiết bị dùng hệ điều hành cũ
- Nếu không thể cập nhật patch bảo mật cho các thiết bị legacy, cô lập chúng khỏi mạng chính để hạn chế rủi ro lây nhiễm.
Quản lý tài khoản người dùng và hạn chế quyền truy cập
- Giám sát toàn bộ tài khoản và vô hiệu hóa tài khoản không hoạt động.
- Khi nhận thông tin rằng tài khoản bị rò rỉ, yêu cầu cập nhật mật khẩu ngay lập tức.
- Chỉ cấp quyền quản trị (privileged access) cho nhân sự được phép.
- Giám sát chặt chẽ các tài khoản này để giảm rủi ro bị lợi dụng hoặc xâm phạm.
Đào tạo nhân viên về phishing và tấn công mạng
- Thường xuyên tổ chức training, giúp nhân viên nhận biết và phản ứng với email lừa đảo, URL độc hại, file đính kèm đáng ngờ.
Ghi log các sự kiện trong hệ thống và tích hợp với SIEM
- Kích hoạt logging đầy đủ: Sysmon, DNS logs, proxy logs, EDR telemetry để phục vụ phát hiện sớm hoặc điều tra hậu nhiễm.
- Tích hợp SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.
Sử dụng giải pháp EDR và bảo mật email và web
- Cài Endpoint Detection and Response (EDR) trên thiết bị người dùng cuối để giám sát liên tục, phát hiện và phản ứng với các mối đe dọa.
- Triển khai bộ lọc bảo mật email mạnh mẽ để phát hiện email lừa đảo có chứa trình tải mã độc hoặc liên kết. Chặn hoặc cách ly email có tệp đính kèm .exe, .scr hoặc tệp đính kèm bất thường trừ khi thực sự cần thiết.
- Triển khai bộ lọc DNS và URL để chặn truy cập vào các tên miền/IP độc hại đã biết và các danh mục như trang web vi phạm bản quyền hoặc tên miền mới xuất hiện.
Giám sát lưu lượng mạng
- Theo dõi kỹ lưu lượng inbound và outbound để phát hiện các kết nối lạ hoặc các dữ liệu bị exfiltrate.
- Chú ý các Indicators of Compromise (IoC) liên quan mã độc Stealer, ví dụ: kết nối đến domain/IP nghi ngờ hoặc POST request mã hóa.

6 Kết luận

Mystic Stealer minh họa rõ ràng xu hướng hiện nay, các infostealer ngày càng được tinh chỉnh, hoạt động như một dịch vụ (MaaS) và liên tục thay đổi kỹ thuật để né các hàng rào bảo vệ truyền thống.

Trong bối cảnh đó, phòng thủ không còn chỉ là quét hash mà đòi hỏi một chiến lược đa lớp gồm phát hiện hành vi, giám sát mạng chủ động, quản lý quyền truy cập và phản ứng sự cố theo playbook chuẩn.

0 Bình luận

Đăng nhập để thảo luận

Chuyên mục Hướng dẫn

Tổng hợp các bài viết hướng dẫn, nghiên cứu và phân tích chi tiết về kỹ thuật, các xu hướng công nghệ mới nhất dành cho lập trình viên.

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.

Đăng ký nhận Newsletter

Nhận các nội dung hữu ích mới nhất

CyStack VulnScan

Locker Secrets Manager

SafeChain Blockchain Security

Locker Password Manager

CyStack Endpoint

WhiteHub Bug Bounty

CyStack Trust Center

CyStack Data Leak Detection