Vietnamese Stealer là gì?
Vietnamese Stealer là một dòng mã độc đánh cắp thông tin (Info Stealer) được phát hiện trong các chiến dịch tấn công nhắm vào người dùng và tổ chức tại Việt Nam. Mã độc này được phát triển bằng Python, sử dụng Telegram làm kênh điều khiển và nhận dữ liệu (Command & Control - C&C).
Thay vì phá hoại hệ thống, Vietnamese Stealer tập trung thu thập thông tin đăng nhập trình duyệt, cookie phiên làm việc, dữ liệu ví tiền điện tử và một số tệp cấu hình nhạy cảm. Những dữ liệu này có thể bị khai thác trực tiếp để chiếm đoạt tài khoản và tài sản số.
Theo ghi nhận từ các hãng bảo mật quốc tế như Kaspersky, số vụ tấn công bằng mã độc đánh cắp thông tin tại Việt Nam trong nửa đầu năm 2025 tăng 78,8%, với gần 192.000 trường hợp bị chặn. Xu hướng này cho thấy Info Stealer đang trở thành một trong những mối đe dọa nổi bật trên không gian mạng trong nước.
Bối cảnh gia tăng của mã độc Info Stealer tại Việt Nam
Trong giai đoạn 2024-2025, thị trường ngầm (underground market) ghi nhận sự gia tăng mạnh của các bộ công cụ stealer viết bằng Python và Golang, được rao bán theo mô hình MaaS (Malware-as-a-Service).
Đặc điểm chung của các chiến dịch tại Việt Nam gồm:
- Tấn công qua email giả mạo hóa đơn, chứng từ thuế
- Lợi dụng tâm lý chủ quan khi mở tệp đính kèm
- Sử dụng nền tảng hợp pháp như Telegram để che giấu hoạt động C&C
- Nội địa hóa nội dung bằng tiếng Việt hoặc tiếng Hàn nhằm tăng tỷ lệ mở tệp
Việc sử dụng Telegram làm kênh điều khiển giúp kẻ tấn công:
- Tránh phải duy trì hạ tầng máy chủ riêng
- Ẩn danh nhờ cơ chế bot và API công khai
- Thay đổi endpoint linh hoạt mà không cần cập nhật lại mã độc
Quy trình tấn công của mã độc Vietnamese Stealer
Chiến dịch tấn công của Vietnamese Stealer diễn ra qua 3 giai đoạn tinh vi:
Giai đoạn 1:Khai thác lỗ hổng DLL Side loading trên ứng dụng lành tính nhằm triển khai mã độc py.ico.
Mã độc khai thác kỹ thuật DLL Side-loading thông qua tệp hợp pháp ADNotificationManager.exe. Nhóm hacker sử dụng DLL độc hại urlmon.dll làm bàn đạp để vận chuyển các lệnh tấn công, áp dụng kỹ thuật xã hội bằng cách gửi các Email lừa đảo chứa tệp nén giả dạng hóa đơn VAT tiếng Hàn (ví dụ: 부가가치세 영수증.jpg). Khi nạn nhân mở tệp, một tệp PDF mồi sẽ hiển thị để tạo cảm giác hợp lệ (Decoy Execution), trong khi mã độc âm thầm tải payload chính từ các máy chủ bên ngoài bằng lệnh curl.
Giai đoạn triển khai Dropper/Loader ban đầu
Giai đoạn 2:Duy trì hiện diện lâu dài (Persistence) trên hệ thống thông qua Scheduled Task và tải xuống mã độc tại Stage 2 thông qua mã độc py.ico.
Mã độc tạo ra một tác vụ mang tên MicrosoftEdgeUpdateTaskMachine, ngụy trang dưới dạng bản cập nhật của Microsoft Edge để tránh bị phát hiện. Tác vụ này được cấu hình để kích hoạt mỗi khi người dùng đăng nhập hoặc định kỳ hàng giờ.
Giai đoạn 3:Thu thập và vận chuyển dữ liệu
Vietnamese Stealer trích xuất các thông tin nhạy cảm từ trình duyệt và ví điện tử rồi gửi về kênh Telegram của hacker.
Sơ bộ quy trình
Mức độ tinh vi còn nằm ở khả năng che giấu. Mã độc được bảo vệ qua nhiều lớp rối mã, giải nén và mã hóa phức tạp, khiến các công cụ phát hiện truyền thống khó nhận diện. Đặc biệt, cơ chế thay đổi linh hoạt máy chủ điều khiển thông qua thông tin công khai trên Telegram cho phép đối tượng điều hướng dòng dữ liệu mà không cần cập nhật lại mã trên thiết bị đã nhiễm. Điều này làm tăng đáng kể khả năng né tránh truy vết.
Nguy cơ đối với doanh nghiệp Việt Nam
Mã độc đánh cắp thông tin tạo ra rủi ro ở cả cấp độ cá nhân lẫn tổ chức:
- Chiếm đoạt tài khoản email doanh nghiệp
- Lạm dụng tài khoản ngân hàng trực tuyến
- Tấn công chuỗi cung ứng qua tài khoản hợp pháp
- Rò rỉ dữ liệu khách hàng và bí mật kinh doanh
Đối với doanh nghiệp, thiệt hại không dừng ở tài chính mà sẽ ảnh hưởng trực tiếp đến uy tín và tuân thủ pháp lý.
Trước xu hướng gia tăng của Info Stealer, doanh nghiệp cần triển khai mô hình phòng thủ nhiều lớp:
- Cập nhật bản vá hệ điều hành và ứng dụng định kỳ
- Triển khai EDR/XDR có khả năng giám sát hành vi
- Giám sát lưu lượng truy cập bất thường tới Telegram Bot API
- Thực hiện kiểm thử xâm nhập định kỳ
- Đào tạo nhận thức an toàn thông tin cho nhân viên
Việc kết hợp công nghệ giám sát 24x7 với chương trình nâng cao nhận thức người dùng giúp giảm đáng kể nguy cơ lây nhiễm từ các chiến dịch lừa đảo qua email.
Giải pháp phòng thủ toàn diện từ HPT
Để chủ động bảo vệ doanh nghiệp trước các mối đe dọa ngày càng tinh vi, HPT cung cấp hệ sinh thái dịch vụ bảo mật hướng tới doanh nghiệp:
- Dịch vụ Kiểm thử xâm nhập (Penetration Testing): Giả lập tấn công để phát hiện các điểm yếu trên bề mặt hệ thống của tổ chức trước khi kẻ xấu khai thác.
- Dịch vụ Giám sát an toàn thông tin 24x7 (SOC): Theo dõi liên tục, phát hiện và ngăn chặn các hành vi tấn công đáng ngờ trên các máy chủ và máy tính người dùng.
- Dịch vụ Tư vấn bảo mật: Xây dựng quy trình sao lưu (backup) theo chuẩn 3-2-1 và diễn tập phục hồi, đảm bảo dữ liệu luôn an toàn và sẵn sàng.
- Dịch vụ Đánh giá và đào tạo nhận thức người dùng (Email Phishing): Củng cố "bức tường lửa con người", lớp phòng thủ quan trọng nhất của doanh nghiệp.
Trong bối cảnh mã độc đánh cắp thông tin ngày càng tinh vi và được nội địa hóa, doanh nghiệp cần tiếp cận an ninh mạng theo hướng chủ động, dựa trên giám sát liên tục và kiểm soát rủi ro theo thời gian thực.