Microsoft vừa công bố thông tin về StilachiRAT, một loại mã độc trojan truy cập từ xa (RAT) tinh vi, được thiết kế đặc biệt nhằm mục đích đánh cắp tiền điện tử và thông tin nhạy cảm của người dùng. Mã độc này có khả năng xâm nhập vào hệ thống một cách âm thầm, lấy cắp dữ liệu đăng nhập trong trình duyệt, thông tin ví tiền điện tử, nội dung trong clipboard và nhiều dữ liệu hệ thống khác. Điều này đặt ra một mối đe dọa lớn cho những ai đang sử dụng tiền điện tử.
Microsoft đã chỉ ra rằng mặc dù mã độc này chưa có dấu hiệu lây lan rộng rãi, nhưng với những khả năng mà nó sở hữu, StilachiRAT vẫn là một mối nguy hiểm nghiêm trọng đối với người dùng tiền điện tử.
StilachiRAT đặc biệt nhắm đến ít nhất 20 tiện ích mở rộng ví tiền điện tử trên trình duyệt Chrome. Trong số đó có nhiều cái tên nổi tiếng như MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX Wallet, cùng với các ví khác như Bitget Wallet, TronLink, Keplr… Việc mã độc này nhắm đến những ví phổ biến cho thấy sự tinh vi và có chủ đích trong các cuộc tấn công.
Khi đã xâm nhập vào thiết bị, mã độc sẽ quét dữ liệu cấu hình của các ví để tìm cách giải mã và trích xuất thông tin đăng nhập, bao gồm cả tên người dùng và mật khẩu. StilachiRAT còn có khả năng giám sát clipboard, liên tục theo dõi xem người dùng có sao chép private key, địa chỉ ví hay mật khẩu không. Nếu phát hiện chuỗi ký tự phù hợp, hacker có thể chiếm đoạt tài sản ngay lập tức, điều này làm tăng nguy cơ mất mát tài sản cho người dùng.
Điểm đặc biệt của StilachiRAT là nó có các dòng mã chuyên dụng để tìm kiếm địa chỉ ví, private key và mật khẩu của ví Tron. Tuy nhiên, báo cáo của Microsoft không giải thích rõ lý do cho điều này, khiến nhiều người dùng cảm thấy lo lắng về sự an toàn của tài sản của họ.
Không chỉ dừng lại ở việc đánh cắp dữ liệu, StilachiRAT còn sở hữu nhiều cơ chế tinh vi để thu thập thông tin hệ thống, duy trì sự tồn tại ngay cả khi máy tính được khởi động lại, và thậm chí có khả năng xóa dấu vết để tránh bị phát hiện. Điều này cho thấy sự phức tạp và nguy hiểm của mã độc này.
Microsoft đã mô tả StilachiRAT là một mã độc “ẩn nấp tinh vi, có khả năng do thám hệ thống và đánh cắp thông tin đăng nhập cũng như tiền điện tử”, trở thành công cụ đắc lực trong tay tội phạm mạng. Điều này nhấn mạnh tầm quan trọng của việc bảo vệ thông tin cá nhân và tài sản số trong thời đại công nghệ số hiện nay.
Dù vậy, theo ông Nguyễn Thế Vinh – đồng sáng lập và CEO của Ninety Eight, Coin98 Wallet Extension không bị StilachiRAT tấn công do có cơ chế mã hóa khác biệt, điều này cho thấy sự cần thiết phải lựa chọn các giải pháp bảo mật phù hợp.
StilachiRAT hoạt động như thế nào?
Thu thập dữ liệu, sinh tồn và ẩn mình
Để xác định các ví tiền điện tử có trên hệ thống, StilachiRAT kiểm tra cài đặt trong registry của Chrome, tìm kiếm thông tin từ đường dẫn: SOFTWAREGoogleChromePreferenceMACsDefaultextensions.settings. Sau khi xác định được các ví có trên máy, mã độc sẽ tiếp tục khai thác dữ liệu để đánh cắp thông tin đăng nhập và cấu hình ví.
StilachiRAT trích xuất khóa mã hóa (encryption_key) của Chrome, vốn được lưu trữ trong thư mục hệ thống. Tuy nhiên, vì khóa này bị mã hóa khi Chrome được cài đặt, mã độc sẽ sử dụng Windows API để giải mã khóa chính, từ đó truy cập vào toàn bộ thông tin đăng nhập của người dùng, bao gồm username và mật khẩu đã lưu trong Chrome. Điều này cho thấy sự tinh vi trong cách thức hoạt động của mã độc này.
Bên cạnh việc trộm dữ liệu, StilachiRAT còn quét thông tin hệ thống như phiên bản Windows, phần cứng, có camera hay không, phiên đăng nhập từ xa (RDP), các ứng dụng đang chạy… Nó sử dụng các truy vấn WMI (Windows Management Instrumentation) để lấy số serial thiết bị và tạo ID riêng biệt cho mỗi máy nhiễm mã độc. Điều này giúp hacker dễ dàng theo dõi và quản lý các thiết bị bị nhiễm.
Mã độc này cũng tự động duy trì trên hệ thống, ngăn chặn người dùng xóa bỏ. Nó có thể hoạt động như một dịch vụ Windows hoặc một phần mềm chạy ngầm, với cơ chế giám sát tự động: nếu tệp tin bị xóa, nó sẽ tự khôi phục từ bản sao nội bộ. Điều này làm cho việc phát hiện và loại bỏ mã độc trở nên khó khăn hơn bao giờ hết.
StilachiRAT liên kết với hai máy chủ từ xa, từ đó hacker có thể ra lệnh: khởi động lại hệ thống, xóa nhật ký, thay đổi registry, chạy ứng dụng, theo dõi cửa sổ đang mở, thậm chí hiển thị hộp thoại giả mạo để đánh lừa người dùng. Điều này cho thấy sự nguy hiểm của mã độc này trong việc kiểm soát thiết bị của nạn nhân.
Để tránh bị phát hiện, StilachiRAT có các cơ chế xóa nhật ký sự kiện, liên tục kiểm tra xem có công cụ giám sát như tcpview.exe đang chạy hay không. Nếu phát hiện phần mềm phân tích, nó sẽ không hoạt động để tránh bị nhận diện. Điều này cho thấy sự tinh vi và khả năng tự bảo vệ của mã độc này.
StilachiRAT lây nhiễm như thế nào?
Nhóm Phản hồi Sự cố của Microsoft cho biết họ “vẫn đang theo dõi các thông tin về cách thức triển khai trong các cuộc tấn công này”. Tuy nhiên, các chuyên gia bảo mật đã xác định một số kịch bản phổ biến mà mã độc này có thể sử dụng để xâm nhập vào hệ thống.
Theo Microsoft, nhiều loại mã độc như StilachiRAT thường được phát tán thông qua các chiến dịch phishing – những email giả mạo chứa tệp đính kèm hoặc liên kết độc hại, đánh lừa người dùng tải về và kích hoạt mã độc mà không hề hay biết. Điều này cho thấy sự cần thiết phải nâng cao nhận thức của người dùng về các mối đe dọa từ email và các liên kết không rõ nguồn gốc.
“Mã độc đánh cắp thông tin thường tận dụng kỹ thuật social engineering để dụ dỗ người dùng tải về và chạy mã độc. Chúng có thể giả mạo dưới nhiều hình thức khác nhau, từ tệp tin tải xuống, thư mời việc làm, đến cả CAPTCHA giả khi bạn đang lướt web”, Aaron Walton – chuyên gia phân tích mối đe dọa tại Expel, giải thích. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng trước khi mở bất kỳ tệp đính kèm nào.
Ngoài phishing, StilachiRAT còn có thể lây nhiễm qua các phần mềm bị chèn mã độc. Những ai thường tải phần mềm từ các website không chính thống, sử dụng phần mềm bẻ khóa (crack) hoặc tham gia vào các nền tảng chia sẻ tập tin lậu có nguy cơ vô tình cài đặt StilachiRAT mà không hay biết. Điều này cho thấy sự cần thiết phải sử dụng các nguồn tải phần mềm đáng tin cậy.
Cách bảo vệ ví tiền điện tử trước StilachiRAT
Để bảo vệ bản thân khỏi mã độc StilachiRAT, một trong những cách phòng tránh hiệu quả nhất là sử dụng phần mềm diệt virus mạnh mẽ, đồng thời bật các công cụ chống phishing, chống mã độc trên tất cả thiết bị. Việc này giúp phát hiện và ngăn chặn mã độc trước khi nó có cơ hội xâm nhập vào hệ thống.
Microsoft khuyến nghị “kích hoạt tamper protection, đồng thời sử dụng endpoint detection và response trong chế độ block mode” để ngăn chặn các cuộc tấn công như StilachiRAT. Người dùng cũng nên bật chế độ bảo vệ PUA (Potentially Unwanted Applications) trong Microsoft Defender Antivirus và kích hoạt cloud-delivered protection. Điều này sẽ giúp tăng cường khả năng bảo vệ cho thiết bị của bạn.
Bên cạnh đó, người dùng cần hạn chế tối đa việc sao chép và dán thông tin nhạy cảm, cũng như luôn kiểm tra kỹ địa chỉ ví trước mỗi giao dịch để tránh bị mã độc thay đổi. Việc này giúp bảo vệ tài sản của bạn khỏi những cuộc tấn công không mong muốn.
Ngoài ra, tính năng Matrix Password cũng giúp bảo vệ người dùng trước nhiều loại mã độc và keylogger (trình theo dõi thao tác bàn phím). “Nếu người dùng kích hoạt Matrix Password (chỉ có trên Coin98 Wallet Extension), họ có thể hoàn toàn yên tâm trước cuộc tấn công này”, ông Nguyễn Thế Vinh cho biết. Điều này cho thấy sự cần thiết phải sử dụng các công nghệ bảo mật tiên tiến để bảo vệ tài sản số.
Matrix Password là một loại mật khẩu thế hệ mới, sử dụng tọa độ và số thay vì ký tự truyền thống. Loại mật khẩu này giúp chống nhìn trộm tuyệt đối: ngay cả khi có người đang nhìn trộm màn hình, họ cũng không thể biết được mật khẩu. Điều này làm tăng cường khả năng bảo mật cho người dùng.
Người dùng có thể thiết lập Matrix Password bằng cách chọn một con số (1), chọn một tọa độ (2), sau đó nhấn giữ chuột, kéo số (1) đến đúng vị trí của tọa độ (2). Việc này giúp người dùng dễ dàng tạo ra một mật khẩu an toàn và khó bị đoán.
Khó khăn trong việc đối phó với StilachiRAT
StilachiRAT là một phần của làn sóng tấn công mạng nhắm vào tiền điện tử ngày càng gia tăng. Theo báo cáo Crypto Crime 2025 của Chainalysis, “tội phạm crypto đang bước vào kỷ nguyên chuyên nghiệp hóa, với các mô hình lừa đảo ứng dụng AI, rửa tiền qua stablecoin và các tổ chức tội phạm mạng hoạt động hiệu quả. Năm qua, tổng giá trị giao dịch bất hợp pháp đã lên tới 51 tỷ USD”. Điều này cho thấy sự gia tăng đáng kể trong các hoạt động tội phạm liên quan đến tiền điện tử.
Việc StilachiRAT sở hữu các kỹ thuật ẩn mình tiên tiến, bao gồm xóa nhật ký hệ thống và tránh bị phát hiện trong môi trường ảo, phản ánh xu hướng ngày càng chuyên nghiệp hóa của các nhóm tội phạm mạng nhắm vào tài sản số. Điều này làm cho việc phát hiện và ngăn chặn mã độc trở nên khó khăn hơn bao giờ hết.
“StilachiRAT có khả năng đánh cắp một lượng lớn dữ liệu và sở hữu cơ chế duy trì hoạt động mạnh mẽ, khiến việc đối phó trở nên cực kỳ khó khăn đối với các chuyên gia an ninh mạng”, Andrew Costis – trưởng nhóm nghiên cứu tại AttackIQ, nhận định. Điều này nhấn mạnh tầm quan trọng của việc nâng cao nhận thức và chuẩn bị cho người dùng trong việc bảo vệ tài sản của họ khỏi các mối đe dọa từ mã độc.
Đọc thêm: Tips lưu trữ, bảo vệ crypto khỏi tấn công phủi bụi, giả mạo, mã độc
