ACRStealer là phần mềm đánh cắp thông tin tinh vi, sử dụng kỹ thuật DDR, Google Docs và Steam để điều khiển từ xa (C2). Nó sở hữu khả năng trốn tránh phát hiện, kiểm soát lưu lượng HTTP bằng các kỹ thuật thấp cấp như NtCreateFile, cùng với hoạt động làm giả tên miền và IP để gây nhiễu hệ thống giám sát mạng. Các phiên bản mới sử dụng mã hóa AES-256, các đường truyền động và ngẫu nhiên để tăng khả năng che giấu. Cơ chế phát tán gồm đánh cắp dữ liệu ví tiền điện tử, thông tin đăng nhập, tài liệu nhạy cảm và khả năng mở rộng tấn công qua các payload phụ. Gần đây, biến thể ACRStealer đã được đổi tên thành AmateraStealer, vẫn giữ đặc điểm là một trong những dòng phần mềm đánh cắp thông tin hoạt động mạnh và thích ứng nhanh.
Phiên bản mới sử dụng kỹ thuật có tên Heaven’s Gate, cho phép mã độc chạy shellcode 64-bit trong tiến trình 32-bit trên Windows. Điều này khiến phần mềm giám sát thông thường rất khó phát hiện, vì hoạt động độc hại bị che giấu hoàn toàn
2. Không dùng thư viện bình thường mà dùng tận lõi hệ điều hành
Khác với nhiều mã độc dùng WinHTTP hay Winsock để kết nối với máy chủ điều khiển (C2), ACRStealer giao tiếp trực tiếp qua driver hệ thống (AFD) bằng các lệnh cấp thấp như NtCreateFile và NtDeviceIoControlFile. Cách này giúp qua mặt tường lửa, hệ thống giám sát mạng hoặc các phần mềm chống mã độc dựa vào API giám sát.
3. Ngụy trang địa chỉ thật bằng “tên miền đáng tin”
Để đánh lạc hướng người kiểm tra, mã độc giả vờ liên lạc với các trang web uy tín như microsoft.com, google.com, facebook.com… Nhưng thực tế lại kết nối đến những địa chỉ IP độc hại khác. Hệ thống giám sát nhìn vào thấy toàn “địa chỉ sạch” nên dễ bị qua mặt.
ACRStealer đánh cắp những gì?
-
Tài khoản đăng nhập trình duyệt (Chrome, Edge, Firefox…)
-
Ví tiền điện tử
-
Tài khoản cloud (Google Drive, Dropbox)
-
Email, FTP, tài liệu nội bộ
-
Cài thêm phần mềm độc hại khác để kiểm soát lâu dài
Với khả năng lẩn trốn, tùy biến và đánh cắp thông tin rộng khắp, AmateraStealer hiện là một trong những infostealer nguy hiểm và khó phát hiện nhất trên thế giới. Nó đang được phát tán chủ yếu qua:
-
Tệp đính kèm email giả mạo
-
Phần mềm crack, game lậu
-
Link giả quảng cáo độc hại
- Không tải phần mềm crack/keygen từ các nguồn không rõ ràng, đây là kênh phát tán malware phổ biến nhất
- Không tải file từ các link trực tiếp của Steam CDN (ví dụ: cdn.cloudflare.steamstatic.com, steamusercontent-a.akamaihd.net) nếu không rõ nguồn gốc.
-
Không mở file từ email lạ dù trông như từ cơ quan nhà nước, ngân hàng hay bạn bè
- Cài đặt phần mềm chính hãng và cập nhật thường xuyên để vá lỗ hổng bảo mật.
-
Sử dụng phần mềm chống virus có tính năng theo dõi hành vi (behavior monitoring)
- Giám sát hành vi truy cập bất thường đến các nền tảng như Google Docs, Steam, telegra.ph, nhất là từ các máy không có nhu cầu sử dụng.
-
Theo dõi lưu lượng mạng bất thường, đặc biệt với các ứng dụng kết nối liên tục
-
Cấu hình firewall/proxy chặn hoặc hạn chế quyền truy cập Steam CDN với các endpoint không phục vụ mục đích chơi game.
