1. Tóm tắt chung

Trong quá trình vận hành hệ thống thông tin, Bảo hiểm xã hội Việt Nam nhận được nhiều những cảnh báo từ Viettel Threat Intelligence, VNCERT/CC - Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam phát hiện và thu thập một số tài khoản người dân bị đánh cắp.

Danh sách các tài khoản của người dân có dấu hiệu lộ lọt được cảnh báo

Redline Stealer là một loại mã độc đánh cắp thông tin hoạt động dưới dạng Malware As A Service, cung cấp dịch vụ bán (Adversary Operator) và người dùng thực hiện giao dịch mã độc (Adversary Customer), hoạt động phát tán và lấy lợi nhuận riêng lẻ không phụ thuộc vào người cung cấp.

Nạn nhân chịu ảnh hưởng có thể là bất kỳ ai nếu vô tình tải về một phần mềm không rõ nguồn gốc được cài cắm mã độc Redline. Điều này có thể xảy ra khi bị vô tình rơi vào tầm ngắm của một chiến dịch cụ thể hoặc đơn giản chỉ là một số file crack trôi nổi trên không gian mạng.

Một số nạn nhân bị nhắm tới trong các chiến dịch mã độc Redline:

• Người dùng thông thường vô tình tải về các phần mềm Crack có chứa mã độc Redline.

• Nhắm vào 3D Digital Artists để đánh cắp coin và token NFT.

• Nhắm vào các người dùng tin tưởng vào chiến dịch Folding@Home phòng chống Covid19 của Mỹ (Dự án tính toán phân bố để xây dựng các mô hình cấu trúc Protein phục vụ cho các mô hình nghiên cứu phòng chống Covid, người dùng thường đc khuyến khích tải app simulator để chạy cùng dự án). Kẻ tấn công lợi dụng để lừa người dùng tải về một phần mềm Simulator giả mạo chứa mã độc Redline.

Người dùng Việt Nam trở thành mục tiêu do thói quen sử dụng phần mềm crack

II. Khả năng ảnh hưởng

Khả năng ảnh hưởng của mã độc thông qua thu thập các thông tin từ hệ thống, trình duyệt, ví điện tử và các thông tin có giá trị khác của người dùng với đa dạng các cách thức lây nhiễm cùng khả năng thực thi mã từ xa, tải xuống nhiều công cụ độc hại.

Redline Stealer là chủng loại mã độc đánh cắp thông đang cực kỳ thịnh hành hiện nay với số lượng mẫu mã độc được tải lên luôn đứng đầu trên bảng xếp hạng Any Run.

Redline Stealer đang lây nhiễm vô cùng mạnh

Số lượng tập tin độc được tải lên các dịch vụ Public Sandbox mỗi ngày vẫn liên tục tăng và duy trì hàng tháng, với tổng số hơn 16.561 IOCs tại Any.Run từ khi ra mắt cho đến nay.

Số lượng mẫu mã độc được tải lên các Public Sandbox

Quá trình thực hiện các chiến dịch tấn công từ Redline Stealer:

Các chiến dịch tấn công lớn sử dụng Redline Stealer

Mã độc Redline được cấu tạo và hoạt động rất phức tạp với nhiều chức năng, nhắm trực tiếp vào các thông tin nhạy cảm của người dùng bao gồm:

• Thông tin của hệ thống

• Thông tin đăng nhập/xác thực trên của trình duyệt

• Thông tin ví tiền điện tử

• Các tập tin của nạn nhân

• Thông tin đăng nhập VPN (tài khoản cho mạng riêng ảo có thể sử dụng để đăng nhập vào các hệ thống tại các cơ quan tổ chức mà người dùng làm việc.

3. Phương thức lây nhiễm và khuyến cáo

Qua các chiến dịch liên quan tới dòng mã độc Redline Stealer, các phương thức lây nhiễm từng được sử dụng rất đa dạng như:

• Liên hệ trực tiếp với nạn nhân qua mạng xã hội để lừa đảo.

• Phishing: thực hiện các hành vi lừa đảo thông qua các trang web, thư điện tử, tin nhắn, cuộc gọi…

• Lừa người dùng cài đặt các phần mềm có chứa mã độc.

Một nguyên nhân phổ biến dẫn đến việc bị ảnh hưởng bởi các loại mã độc đánh cắp thông tin là việc thường xuyên sử dụng các phần mềm crack, không sử dụng các phần mềm diệt Virus hoặc thậm chí gỡ bỏ (VD: Anti-virus, EDR…).

Thông tin nguồn tham khảo:

[1] Leaking Critical Personal Information Due to Various Types of Information-stealing Malware