Các loại mã độc đánh cắp thông tin thường bao gồm thông tin trình duyệt web như tên đăng nhập, mật khẩu, cookie xác thực, lịch sử duyệt web; thông tin xác thực tài khoản của các nền tảng trực tuyến và ứng dụng phổ biến; dữ liệu ví tiền mã hóa như khóa riêng, seed phrase hoặc thông tin mở rộng của các tiện ích của trình duyệt; cũng như dữ liệu hệ thống và tệp cá nhân có giá trị. Việc đánh cắp cookie phiên đăng nhập đặc biệt nguy hiểm, bởi nó cho phép kẻ tấn công chiếm quyền truy cập tài khoản mà không cần vượt qua các cơ chế xác thực đa yếu tố.

Sự xuất hiện của SantaStealer được xem như một bước phát triển mới trong mô hình malware-as-a-service (MaaS), cho phép kẻ tấn công thuê dịch vụ mã độc với chi phí định kỳ và dễ dàng tùy biến cấu hình theo nhu cầu thu thập dữ liệu. SantaStealer được quảng bá như một phần mềm đánh cắp thông tin thế hệ mới trong hệ sinh thái MaaS, hỗ trợ kiến trúc module linh hoạt, cho phép tùy biến phạm vi và loại dữ liệu cần thu thập theo từng chiến dịch cụ thể. Điều này phản ánh sự dịch chuyển từ các mã độc đơn lẻ sang các nền tảng mã độc có khả năng mở rộng, dễ vận hành và hướng mạnh vào việc khai thác dữ liệu người dùng như một loại “tài sản số” có thể mua bán, trao đổi hoặc tái sử dụng trong các hoạt động tấn công tiếp theo. 

Kiến trúc tổng quan của SantaStealer   

SantaStealer vận hành theo mô hình đa mô-đun, được thiết kế để chạy hoàn toàn trong bộ nhớ (in-memory) nhằm tránh phát hiện dựa trên file hệ thống. Mỗi mô-đun đảm trách một chức năng cụ thể và chúng chạy song song trong từng thread riêng biệt trong tiến trình hệ thống. Dữ liệu thu thập từ các mô-đun không được ghi trực tiếp ra hệ thống tệp tin, mà tạm thời lưu trữ trong bộ nhớ, sau đó được nén thành các tập tin định dạng ZIP. Các gói dữ liệu này được chia nhỏ thành từng khối có dung lượng tối đa 10 MB và lần lượt truyền về máy chủ điều khiển và ra lệnh (C2) thông qua cổng mạng cố định 6767. Cách thức truyền dữ liệu theo từng khối giúp giảm nguy cơ gián đoạn trong quá trình trích xuất dữ liệu và tránh các cảnh báo bất thường về lưu lượng mạng lớn.  

Về chức năng thu thập thông tin, SantaStealer tích hợp 14 mô-đun chuyên biệt, tập trung vào các nguồn dữ liệu có giá trị cao đối với tội phạm mạng. Các mô-đun khai thác dữ liệu trình duyệt web nhằm đánh cắp mật khẩu, cookie xác thực, lịch sử duyệt web và thông tin thẻ thanh toán đã lưu. Ngoài ra, mã độc còn nhắm đến các ứng dụng và dịch vụ phổ biến như Telegram, Discord và Steam, nơi lưu trữ thông tin đăng nhập và dữ liệu giao tiếp cá nhân.   

Bên cạnh đó, SantaStealer đặc biệt chú trọng đến dữ liệu ví tiền mã hóa, bao gồm các ứng dụng ví cài đặt trên hệ thống và các tiện ích mở rộng trình duyệt liên quan đến giao dịch tiền điện tử. Việc thu thập các thông tin này cho phép kẻ tấn công trực tiếp chiếm đoạt tài sản số của nạn nhân. Ngoài các dữ liệu định danh, mã độc còn thu thập tập tin người dùng và ảnh chụp màn hình desktop, từ đó mở rộng khả năng khai thác thông tin cá nhân, tài liệu quan trọng hoặc dữ liệu nhạy cảm khác.   

Mỗi mô-đun trong SantaStealer đóng vai trò như một điểm thu thập dữ liệu độc lập, nhưng khi kết hợp lại, chúng tạo thành một hệ thống đánh cắp thông tin toàn diện. Cách tiếp cận này làm mở rộng đáng kể phạm vi dữ liệu bị rò rỉ nếu hệ thống bị lây nhiễm, đồng thời gia tăng giá trị khai thác của dữ liệu thu thập được trong các hoạt động tấn công hoặc mua bán trên thị trường ngầm.

Cơ chế chống phát hiện và khả năng phân tích đối với SantaStealer   

Mặc dù SantaStealer được quảng bá trên các diễn đàn ngầm như một phần mềm đánh cắp thông tin có khả năng thực thi hoàn toàn trong bộ nhớ (in-memory execution) nhằm né tránh các cơ chế phát hiện dựa trên tệp hệ thống, kết quả phân tích thực nghiệm từ nhóm nghiên cứu Rapid7 cho thấy mức độ tinh vi thực tế của các mẫu thu thập được hiện nay chưa tương xứng với các tuyên bố quảng cáo. Các mẫu SantaStealer được nghiên cứu vẫn có thể bị phát hiện bởi các giải pháp bảo mật truyền thống.

Một điểm đáng chú ý là các tệp thực thi liên quan đến SantaStealer chưa được làm rối mã (obfuscate) đầy đủ, đồng thời vẫn tồn tại nhiều tên hàm, tên biến và chuỗi ký tự rõ nghĩa trong mã nguồn và bảng symbol. Sự hiện diện của các ký hiệu như tên module, chức năng thu thập dữ liệu và cơ chế kiểm tra môi trường phân tích cho thấy quá trình phát triển mã độc chưa áp dụng triệt để các biện pháp chống phân tích tĩnh và động. Điều này làm giảm đáng kể rào cản kỹ thuật đối với các nhà nghiên cứu bảo mật trong việc đảo ngược mã và xây dựng chữ ký phát hiện. Những hạn chế này phản ánh một thực tế phổ biến trong hệ sinh thái MasS: trong giai đoạn đầu phát hành, các sản phẩm mã độc thường được ưu tiên về tốc độ triển khai và thương mại hóa hơn là tối ưu hóa khả năng né tránh phát hiện ở mức độ cao.

Minh họa cấu hình mã độc SantaStealer

Bên cạnh những điểm yếu trong cơ chế chống phân tích, SantaStealer vẫn cho thấy nỗ lực rõ ràng trong việc thích nghi với các biện pháp bảo mật mới, đặc biệt là đối với trình duyệt web. Theo các nguồn phân tích kỹ thuật, mã độc này sử dụng một thành phần thực thi nội bộ riêng biệt nhằm vượt qua cơ chế App-Bound Encryption của Google Chrome, một tính năng bảo mật được Google giới thiệu từ năm 2024 để bảo vệ dữ liệu nhạy cảm như mật khẩu và cookie khỏi các tiến trình trái phép.   

Việc tích hợp kỹ thuật bypass App-Bound Encryption cho thấy SantaStealer đã nhận thức được sự thay đổi trong kiến trúc bảo mật của trình duyệt hiện đại và chủ động điều chỉnh phương thức tấn công để tiếp cận dữ liệu đã được mã hóa. Điều này đặc biệt quan trọng trong bối cảnh dữ liệu trình duyệt, nhất là cookie phiên đăng nhập ngày càng trở thành mục tiêu ưu tiên của các information stealer do khả năng bỏ qua xác thực đa yếu tố và chiếm quyền truy cập tài khoản.

Đánh giá rủi ro và khuyến nghị bảo mật

Đánh giá rủi ro bảo mật:

Theo phân tích của Rapid7, SantaStealer đại diện cho một lớp đánh cắp tập trung vào dữ liệu định danh số có giá trị cao, đặc biệt là dữ liệu trình duyệt và ví tiền mã hóa. Việc nhắm trực tiếp vào các kho lưu trữ thông tin xác thực như mật khẩu, cookie phiên đăng nhập và dữ liệu autofill làm gia tăng đáng kể nguy cơ chiếm quyền truy cập tài khoản trực tuyến, ngay cả trong các hệ thống đã triển khai xác thực đa yếu tố. Cookie và session token bị đánh cắp có thể cho phép kẻ tấn công vượt qua các cơ chế bảo vệ truyền thống mà không cần tương tác thêm với nạn nhân.

Bên cạnh đó, SantaStealer đặc biệt nguy hiểm đối với người dùng và tổ chức có liên quan đến tài sản số, do khả năng thu thập dữ liệu từ các ứng dụng ví tiền mã hóa và tiện ích mở rộng trình duyệt. Việc rò rỉ khóa riêng hoặc dữ liệu liên quan đến ví có thể dẫn đến mất hoàn toàn quyền kiểm soát tài sản, với khả năng khôi phục gần như bằng không. Khác với các hình thức gian lận tài chính truyền thống, thiệt hại từ tiền mã hóa thường không thể đảo ngược.   

Đáng chú ý, kiến trúc đa mô-đun của SantaStealer cho phép thu thập đồng thời nhiều loại dữ liệu khác nhau trong cùng một phiên lây nhiễm. Sự kết hợp này làm gia tăng đáng kể phạm vi và mức độ tác động của sự cố, biến một điểm xâm nhập ban đầu thành nguồn rủi ro lan tỏa, ảnh hưởng đồng thời đến cá nhân, tài sản số và hệ thống tổ chức.   

Khuyến nghị và biện pháp phòng ngừa:    

Dựa trên các xu hướng mã độc đánh cắp thông tin được các nhà nghiên cứu ghi nhận, các biện pháp phòng ngừa cần tập trung vào giảm thiểu khả năng xâm nhập ban đầu và phát hiện hành vi bất thường, thay vì chỉ dựa vào chữ ký mã độc truyền thống.

Trước hết, người dùng và tổ chức cần nâng cao cảnh giác đối với các liên kết, tệp đính kèm và phần mềm từ nguồn không tin cậy, đặc biệt là các nội dung được phân phối thông qua email, quảng cáo độc hại hoặc các chiến dịch lừa đảo sử dụng kỹ nghệ xã hội. Việc hạn chế thực thi mã không rõ nguồn gốc đóng vai trò then chốt trong việc ngăn chặn giai đoạn khởi phát của mã độc.

Bên cạnh đó, việc triển khai giải pháp bảo mật endpoint có khả năng phát hiện dựa trên hành vi là yếu tố quan trọng trong bối cảnh các mã độc như SantaStealer ngày càng sử dụng kỹ thuật thực thi trong bộ nhớ. Các giải pháp này cần tập trung giám sát hành vi truy cập bất thường vào kho lưu trữ trình duyệt, tiến trình trích xuất dữ liệu và lưu lượng exfiltration ra ngoài mạng.

Ngoài ra, các tổ chức được khuyến nghị hạn chế lưu trữ thông tin xác thực nhạy cảm trên trình duyệt, đặc biệt là đối với tài khoản quan trọng và hệ thống nội bộ. Việc kết hợp quản lý mật khẩu chuyên dụng, phân tách quyền truy cập và giám sát lưu lượng mạng outbound có thể giúp giảm thiểu tác động nếu sự cố infostealer xảy ra.

SantaStealer là một đại diện mới của loại mã độc thu thập thông tin, với cấu trúc mô-đun đa chức năng và tập trung vào dữ liệu người dùng có giá trị cao như trình duyệt và ví tiền mã hóa. Mặc dù chưa đạt được mức độ tinh vi hoàn hảo trong việc né tránh phát hiện, sự xuất hiện của nó cho thấy xu hướng phát triển mã độc theo mô hình MaaS và mở rộng phạm vi dữ liệu mục tiêu. Việc hiểu rõ cơ chế hoạt động và cách phòng ngừa là rất cần thiết để bảo vệ hệ thống trong bối cảnh các chiến dịch tấn công ngày càng phức tạp.