StealC v2 đang lan rộng, đây là cách nó đánh cắp dữ liệu của bạn

Reading Time: 11 minutes

1 Tổng quan

StealC là một công cụ đánh cắp thông tin và tải phần mềm độc hại được sử dụng rộng rãi, lần đầu tiên xuất hiện trên các chợ đen vào đầu năm 2023. Tính hiệu quả và dễ triển khai của nó đã nhanh chóng khiến nó trở nên phổ biến trên các diễn đàn tội phạm mạng. Nó được viết bằng C++ và được nhà phát triển cung cấp dưới dạng phần mềm độc hại dưới dạng dịch vụ (MaaS) nó được phát triển dựa trên các mã độc đánh cắp Vidar, Raccoon, Mars.

Đầu năm 2025, nhà phát triển đã công bố phát hành StealC v2, đánh dấu một bản nâng cấp lớn tập trung vào khả năng ẩn danh và tính linh hoạt. Các cải tiến bổ sung bao gồm chụp ảnh màn hình đa màn hình, trình thu thập tệp hợp nhất hỗ trợ nhiều ứng dụng và các kỹ thuật phía máy chủ để vượt qua một số biện pháp bảo vệ thông tin đăng nhập. Điều này làm cho StealC v2 bí mật và linh hoạt hơn đáng kể so với phiên bản tiền nhiệm.

2 Cách thức hoạt đông

1 Xâm nhập thiết bị

• Mã độc thường được phát tán qua email lừa đảo (phishing), tệp nén hoặc thực thi giả mạo (.exe, .msi), hoặc các bản cài đặt trò chơi/ứng dụng đã bị cài sẵn mã độc.

2 Thiết lập quyền kiểm soát

• Khi mã nhị phân StealC v2 được chạy trên máy tính Windows của nạn nhân, nó bắt đầu bằng cách thực hiện một số bước kiểm tra thiết lập và khởi tạo. Cụ thể StealC v2 sẽ giải mã các chuỗi quan trọng được mã hóa bằng RC4 để lấy được các thông tin cần thiết, chẳng hạn như URL máy chủ C2 và tên hàm API.
• StealC bao gồm một tính năng kiểm tra ngôn ngữ để loại trừ các máy tính được thiết lập bằng ngôn ngữ của Cộng đồng các Quốc gia Độc lập (CIS).
• Khởi tạo mutex để tránh chạy nhiều phiên bản cùng lúc. Khi khởi chạy, nó liên tục cố gắng mở một sự kiện được đặt tên. Nếu sự kiện đó tồn tại, phần mềm độc hại sẽ đợi khoảng bốn giây trước khi thử lại. Khi sự kiện được xác nhận là không tồn tại, nó sẽ tạo sự kiện để đánh dấu sự hiện diện của nó. Nếu việc tạo sự kiện không thành công, nó sẽ thoát.
• StealC tạo ra ID phần cứng (HWID) cho máy bằng quy trình băm nhiều bước dựa trên số sê-ri ổ đĩa của hệ thống. HWID này sẽ được sử dụng để nhận dạng bot trong giao tiếp. StealC v2 giao tiếp với máy chủ điều khiển (C2) qua HTTP, sử dụng các thông điệp JSON được mã hóa Base64 gồm các thông tin HWID, phiên bản/build, OS info, thời điểm. Máy chủ phản hồi bằng một JSON cấu hình bao gồm access_token , được sử dụng cho tất cả các giao tiếp tiếp theo

3 Thu thập dữ liệu và gửi dữ liệu

Sau khi đã kiểm soát thành công trong hệ thống, mã độc bắt đầu giai đoạn quan trọng nhất thu thập thông tin, rà soát toàn bộ trình duyệt, ví tiền điện tử, ứng dụng email và các thư mục cá nhân để lấy dữ liệu giá trị nhất của người dùng

• Dữ liệu được lưu trữ trong trình duyệt: thông tin đăng nhập, cookie, thông tin thẻ tín dụng, v.v. Đối với các trình duyệt dựa trên Chromium như Chrome và Edge, StealC v2 không cố gắng giải mã mật khẩu hoặc cookie trên máy của nạn nhân. Thay vào đó, nó thu thập các tệp đã mã hóa và gửi chúng đến máy chủ C2 để giải mã. Còn đối với Firefox, StealC v2 có khả năng giải mã thông tin đăng nhập và cookie nay trên máy nạn nhân.
• Dữ liệu của các tiện ích mở rộng ví trên trên trình duyệt
• Dữ liệu của các phần mềm ví
• Các tập tin cụ thể trong ổ đĩa
• Dữ liệu liên quan đến Telegram
• Ảnh chụp màn hình thiết bị bị nhiễm

Khi đã thu thập đầy đủ thông tin, mã độc sẽ thực hiện truyền dữ liệu về máy chủ chỉ huy

• Mỗi tệp hoặc mục dữ liệu bị đánh cắp được gửi trong một yêu cầu POST riêng biệt sử dụng định dạng nhất quán. Yêu cầu bao gồm mã thông báo đã nhận trước đó, dữ liệu được mã hóa Base64 và tên tệp đã được mã hóa hoặc băm.
• Để hỗ trợ các tệp lớn hơn, StealC có thể chia chúng thành các khối 512 KB và gửi chúng dưới dạng tải lên nhiều phần. Mỗi khối bao gồm siêu dữ liệu chỉ định vị trí và tổng số phần, cho phép máy chủ lắp ráp lại toàn bộ tệp sau khi truyền.
• Máy chủ C2 có thể là IP động, domain ẩn danh hoặc domain tạm thời, thường đăng ký với thông tin giả để che giấu danh tính chủ sở hữu.

4 Ẩn mình

• StealC v2 sử dụng chuỗi được mã hóa RC4.
• StealC v2 được đóng gói bằng Themida packer và có kích thước khoảng vài trăm KB khi giải nén. Phần mềm độc hại này không mang bất kỳ chữ ký số nào (nó không được ký) và dựa vào kỹ thuật che giấu để tránh bị phát hiện thay vì mạo danh chữ ký mã hợp lệ.
• Các phiên bản StealC trước đó cũng bao gồm kiểm tra anti-VM và anti-sandbox. Những tính năng này đã bị loại bỏ trong v2, có thể là để đơn giản hóa cơ sở mã hoặc thay vào đó là dựa vào các trình đóng gói bên ngoài và khả năng né tránh thời gian chạy.

5 Hoạt động bổ sung

• StealC v2 bao gồm khả năng tải module bổ sung: scan mạng nội bộ, thu thập token phần mềm, mở đường cho malware khác.
• Có khả năng tự cập nhật từ C2 để tải module mới hoặc thay đổi hành vi.

Bây giờ khi đã hiểu rõ cách mã độc hoạt động, câu hỏi quan trọng là làm sao để nhận ra dấu hiệu bị nhiễm trước khi quá muộn?

3 Dấu hiệu nhận biết & cách phát hiện

Dấu hiệu nhận biết

Dấu hiệu	Mô tả chi tiết
Hệ thống hoạt động bất thường	Máy tính bỗng chạy chậm, giật lag dù không cài thêm phần mềm hay thay đổi cấu hình. Đây có thể là dấu hiệu mã độc đang âm thầm sử dụng tài nguyên hệ thống để thực thi các tác vụ đánh cắp dữ liệu.
Hoạt động mạng lạ	Lưu lượng dữ liệu gửi đi tăng bất thường, đặc biệt vào thời điểm ngoài giờ làm việc. Đây là dấu hiệu khả nghi cho thấy mã độc đang exfiltrate dữ liệu về máy chủ chỉ huy (C2).
Đăng nhập tài khoản trái phép	Xuất hiện cảnh báo đăng nhập từ vị trí hoặc thiết bị lạ. Điều này cho thấy thông tin đăng nhập có thể đã bị đánh cắp và đang bị sử dụng trái phép.
Dữ liệu tự điền (autofill) bị xâm phạm	Mật khẩu hoặc dữ liệu lưu trên trình duyệt không còn hoạt động, hoặc có hoạt động lạ từ tài khoản sử dụng autofill. Đây là dấu hiệu mã độc đang khai thác thông tin trình duyệt.
Ứng dụng hoặc tệp lạ xuất hiện	Hệ thống có file hoặc ứng dụng lạ mà bạn không hề tải hoặc cài đặt. Mã độc có thể đang giả dạng phần mềm hợp pháp để che giấu sự tồn tại của nó.
Cảnh báo từ phần mềm bảo mật	Antivirus, IDS/IPS hoặc công cụ EDR cảnh báo hành vi đáng ngờ. Đây có thể là thời điểm mã độc bị phát hiện hoặc đang cố gắng né tránh giải pháp bảo mật.

Cách phát hiện

Việc nắm rõ những biểu hiện đặc trưng và kỹ thuật kiểm tra phù hợp là bước đầu tiên để kịp thời phát hiện và ngăn chặn mã độc trước khi dữ liệu bị đánh cắp.

Bước 1: Phân tích tiến trình và registry

1. Mở Process Explorer hoặc Task Manager nâng cao để kiểm tra các tiến trình lạ:
   • Tìm kiếm các tên giả mạo trình duyệt, phần mềm dịch vụ và các tên lạ so với các phần mền đã cài
   • Kiểm tra các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp.
2. Kiểm tra registry autorun:
   • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
   • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
   • Tìm các khóa mới, không rõ nguồn gốc trong 2 thư mục trên
3. Tìm mutex lạ:
   • mã độc tạo mutex để tránh chạy nhiều phiên bản, có thể kiểm tra điều này bằng Sysinternals hoặc EDR.

Bước 2: Giám sát lưu lượng mạng

1. Dùng Wireshark, Zeek, hoặc công cụ SIEM để kiểm tra kết nối HTTP/HTTPS đến các IP hoặc domain lạ.
2. Quan sát lưu lượng dữ liệu bất thường:
   • Dữ liệu gửi đi nhiều hơn bình thường, đặc biệt vào các khung giờ không phổ biến.
   • Traffic hướng đến các máy chủ ở quốc gia lạ hoặc domain mới đăng ký.

Bước 3: Phân tích file và hệ thống

1. Kiểm tra các file thực thi trong thư mục:
   • %AppData%\\Roaming
   • %AppData%\\Local\\Temp
2. So sánh hash file với cơ sở dữ liệu IoC từ:
   • VirusTotal
   • Threat intelligence feed từ Kaspersky, IBM, hoặc các nguồn mở khác.
3. Xem các tệp liên quan đến ví tiền điện tử, trình duyệt có bị thay đổi hoặc sao chép không.

Bước 4: Phân tích hành vi

1. Chạy file nghi ngờ trong sandbox hoặc VM để quan sát:
   • Xem file thực thi có thực hiện Hook API của trình duyệt hay thực hiện keylogging.
   • Kiểm tra xem có các bước tạo autorun, scheduled task.
   • Download module bổ sung từ C2.
2. Quan sát các cơ chế anti-debug, anti-VM mà mã độc sử dụng.

Bước 5: Dùng YARA & Sigma rules

1. Sử dụng YARA rule giúp phát hiện signature trong file, memory hoặc registry.
2. Sử dụng Sigma rule giúp phát hiện hành vi mã độc trong Windows Event Log.
3. Kết hợp YARA + Sigma với SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.

Bước 6: Sử dụng EDR / OSQuery nâng cao

1. Tạo query giúp tìm kiếm nhanh:
   • Process lạ, mutex, registry key, network connection liên quan mã độc.
2. Dùng EDR để:
   • Tự động cảnh báo nếu xuất hiện hành vi malware.
   • Isolate host nghi ngờ trước khi malware lan rộng.

Bước 7: Cross-check với Threat Intelligence

• So sánh các IoC, domain, IP, hash, mutex với feed từ Kaspersky, IBM X-Force, MalwareBazaar…
• Xác nhận biến thể mã độc đang hoạt động và cập nhật phương án phòng ngừa.

Khi bạn đã xác định hoặc có căn cứ nghi ngờ máy bị nhiễm mã độc, bước tiếp theo không phải là cố gắng xóa ngay cho nhanh mà là cô lập, bảo toàn bằng chứng và thực hiện quy trình xử lý có phương pháp.

4 Loại bỏ & khôi phục hệ thống

1. Cô lập thiết bị

Khi đã xác định mã độc, ngắt ngay kết nối mạng (LAN/Wi-Fi) để ngăn malware gửi dữ liệu ra ngoài. Trong môi trường doanh nghiệp, tách host khỏi domain hoặc VLAN để malware không lây lan sang các máy khác.

Ghi lại thông tin IP, hostname và log mạng để phục vụ phân tích sau này nếu cần.

2. Dừng các tiến trình

Mở Process Explorer hoặc Task Manager nâng cao và terminate mọi tiến trình lạ liên quan mã độc.

Tập trung vào các tiến trình chạy từ %AppData%\\Roaming, %AppData%\\Local\\Temp hoặc những tiến trình giả danh phần mềm phổ biến.

3. Gỡ persistence

Mã độc thường tạo registry key và scheduled task để tự khởi động cùng hệ thống.

• Xóa các key lạ tại:
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
• Xóa tất cả scheduled task, mutex, service lạ mà malware tạo ra.Điều này đảm bảo mã độc không tự khởi động lại sau khi bị terminate.

4. Xóa file độc hại

Tìm và xóa các tệp thực thi, DLL hoặc script trong:

• %AppData%\\Roaming
• %AppData%\\Local\\Temp
• Desktop, Downloads

So sánh hash file với IoC đã xác định để chắc chắn bạn chỉ xóa file liên quan mã độc.

5. Quét toàn bộ hệ thống

Chạy full scan với antivirus/EDR cập nhật mới nhất để phát hiện các tệp, registry key, hoặc tiến trình còn sót.

Kiểm tra Sysmon Event Log (EventID 1,3,10) để chắc chắn không còn dấu vết mã độc trong memory hoặc network.

6. Đổi mật khẩu & dọn trình duyệt

Ngay sau khi loại bỏ malware:

• Thay đổi tất cả mật khẩu Windows, email, VPN, và các ứng dụng quan trọng.
• Xóa cache, cookies, autofill trong trình duyệt.
• Khôi phục dữ liệu từ backup sạch, đảm bảo không chứa malware.

7. Giám sát hậu xử lý

• Giám sát lưu lượng mạng và tiến trình trong vài ngày tiếp theo.
• Kiểm tra lại registry, scheduled task, mutex, services để đảm bảo không còn dấu vết mã độc.

8. Rebuild hệ thống nếu cần

Nếu mã độc đã xâm nhập sâu hoặc nghi ngờ có backdoor, rebuild toàn bộ OS là phương án an toàn nhất.

Cài lại hệ điều hành, patch đầy đủ, cài phần mềm bảo mật trước khi khôi phục dữ liệu từ backup.

Theo dõi hệ thống trong ít nhất 1–2 tuần để đảm bảo không còn dấu hiệu tái nhiễm.

5 Phòng chống & giảm thiểu rủi ro

Cách phòng chống mã độc cho cá nhân

1. Lưu trữ mật khẩu an toàn
   • Đừng lưu mật khẩu trực tiếp trên trình duyệt.
   • Sử dụng password manager được mã hóa, như Locker, để quản lý mật khẩu một cách an toàn.
2. Xác thực đa yếu tố
   • Sử dụng xác thực 2FA với các dịch vụ quan trọng
3. Chỉ tải phần mềm từ nguồn đáng tin cậy
   • Tránh cài đặt phần mềm lậu hoặc từ nguồn không xác thực.
   • Chỉ tải phần mềm từ trang chính thức của nhà cung cấp, ví dụ: Microsoft, Adobe, hoặc các nhà phát triển uy tín khác.
4. Cập nhật hệ thống và ứng dụng thường xuyên
   • Luôn cài đặt bản cập nhật mới nhất cho hệ điều hành, ứng dụng và phần mềm bảo mật.
   • Các patch bảo mật thường vá các lỗ hổng mà malware có thể khai thác.
5. Sử dụng phần mềm bảo mật và quét định kỳ
   • Cài antivirus/anti-malware và giữ phần mềm luôn được cập nhật cùng với cơ sở dữ liệu định nghĩa virus mới nhất.
   • Thường xuyên quét toàn bộ hệ thống và các file nhận được từ email, USB hoặc tải xuống internet.
6. Báo cáo hành vi đáng ngờ
   • Nếu phát hiện đăng nhập trái phép, giao dịch không xác nhận, hay hành vi bất thường, hãy thông báo ngay với bộ phận IT hoặc bảo mật của tổ chức, hoặc các cơ quan chức năng liên quan.
   • Hành động nhanh giúp hạn chế rủi ro và ngăn malware lây lan hoặc đánh cắp thêm dữ liệu.

Cách phòng chống mã độc cho tổ chức

1. Vô hiệu hóa các cổng và giao thức không cần thiết
   • Tắt các dịch vụ như Telnet, Microsoft RPC, FTP nếu không cần thiết cho hoạt động kinh doanh, giảm bề mặt tấn công cho malware như mã độc.
2. Cô lập thiết bị dùng hệ điều hành cũ
   • Nếu không thể cập nhật patch bảo mật cho các thiết bị legacy, cô lập chúng khỏi mạng chính để hạn chế rủi ro lây nhiễm.
3. Quản lý tài khoản người dùng và hạn chế quyền truy cập
   • Giám sát toàn bộ tài khoản và vô hiệu hóa tài khoản không hoạt động.
   • Khi nhận thông tin rằng tài khoản bị rò rỉ, yêu cầu cập nhật mật khẩu ngay lập tức.
   • Chỉ cấp quyền quản trị (privileged access) cho nhân sự được phép.
   • Giám sát chặt chẽ các tài khoản này để giảm rủi ro bị lợi dụng hoặc xâm phạm.
4. Đào tạo nhân viên về phishing và tấn công mạng
   • Thường xuyên tổ chức training, giúp nhân viên nhận biết và phản ứng với email lừa đảo, URL độc hại, file đính kèm đáng ngờ.
5. Ghi log các sự kiện trong hệ thống và tích hợp với SIEM
   • Kích hoạt logging đầy đủ: Sysmon, DNS logs, proxy logs, EDR telemetry để phục vụ phát hiện sớm hoặc điều tra hậu nhiễm.
   • Tích hợp SIEM để tạo cảnh báo tự động cho mạng doanh nghiệp.
6. Sử dụng giải pháp EDR và bảo mật email và web
   • Cài Endpoint Detection and Response (EDR) trên thiết bị người dùng cuối để giám sát liên tục, phát hiện và phản ứng với các mối đe dọa.
   • Triển khai bộ lọc bảo mật email mạnh mẽ để phát hiện email lừa đảo có chứa trình tải mã độc hoặc liên kết. Chặn hoặc cách ly email có tệp đính kèm .exe, .scr hoặc tệp đính kèm bất thường trừ khi thực sự cần thiết.
   • Triển khai bộ lọc DNS và URL để chặn truy cập vào các tên miền/IP độc hại đã biết và các danh mục như trang web vi phạm bản quyền hoặc tên miền mới xuất hiện.
7. Giám sát lưu lượng mạng
   • Theo dõi kỹ lưu lượng inbound và outbound để phát hiện các kết nối lạ hoặc các dữ liệu bị exfiltrate.
   • Chú ý các Indicators of Compromise (IoC) liên quan mã độc Stealer, ví dụ: kết nối đến domain/IP nghi ngờ hoặc POST request mã hóa.

6 Kết luận

StealC là minh chứng rõ ràng cho xu hướng “infostealer-as-a-service” về các công cụ linh hoạt, modular và dễ tùy chỉnh để thu thập khối lượng lớn dữ liệu có giá trị từ mật khẩu trình duyệt, token, ví crypto đến screenshots và file người dùng. Khả năng cấu hình động từ C2, mã hóa payload (Base64/RC4/AES) và dùng nhiều vector phân phối (trojanized installers, phishing, PowerShell) khiến StealC khó bị ngăn chặn chỉ bằng signature thông thường.

Trong bối cảnh các biến thể malware mới liên tục xuất hiện và các kỹ thuật tấn công ngày càng tinh vi, thực hành bảo mật chủ động và liên tục cập nhật thông tin về mối đe dọa là yếu tố then chốt để bảo vệ dữ liệu và hệ thống khỏi các loại mã độc info-stealer.