Coin98 Insights logo
Channel logo
Coin98 Insights
Save
Copy link

Mã độc StilachiRAT chuyên nhắm vào ví crypto trên Chrome: Nhận biết và phòng tránh

Microsoft vừa cảnh báo về StilachiRAT – mã độc chuyên nhắm vào ví crypto trên trình duyệt Chrome, hoạt động ẩn mình và khó phát hiện. Đây tiếp tục là hồi chuông cảnh báo về bảo mật ví crypto sau vụ hack 1.5 tỷ USD vào Bybit.
nghianq
Published 5 days ago
Updated 3 days ago
8 min read
stilachirat crypto microsoft

StilachiRAT: “Tên trộm số” rình rập ví crypto

Microsoft vừa công bố về StilachiRAT – một mã độc trojan truy cập từ xa (RAT) tinh vi được thiết kế đặc biệt để đánh cắp crypto và thông tin nhạy cảm. Mã độc này có khả năng xâm nhập hệ thống âm thầm, lấy cắp dữ liệu đăng nhập trong trình duyệt, thông tin ví crypto, nội dung trong clipboard và nhiều dữ liệu hệ thống khác.

Microsoft cho biết “mã độc chưa có dấu hiệu lây lan rộng rãi”, nhưng với những gì nó có thể làm, đây vẫn là mối đe dọa nghiêm trọng đối với người dùng crypto.

StilachiRAT đặc biệt nhắm vào ít nhất 20 tiện ích mở rộng ví crypto (crypto wallet extension) trên trình duyệt Chrome. Trong danh sách này có nhiều cái tên quen thuộc như MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX Wallet, cùng với các ví khác như Bitget Wallet, TronLink, Keplr…

Sau khi xâm nhập thiết bị, mã độc sẽ quét dữ liệu cấu hình của các ví để tìm cách giải mã và trích xuất thông tin đăng nhập, bao gồm cả tên người dùng và mật khẩu. StilachiRAT còn giám sát clipboard, liên tục theo dõi xem người dùng có sao chép private key, địa chỉ ví hay mật khẩu không. Nếu phát hiện chuỗi ký tự phù hợp, hacker có thể chiếm đoạt tài sản ngay lập tức.

Điểm đặc biệt của StilachiRAT là có các dòng code chuyên dùng để tìm kiếm địa chỉ ví, private key và mật khẩu của ví Tron. Báo cáo của Microsoft không giải thích lý do cho điều này.

Bên cạnh đánh cắp dữ liệu, StilachiRAT còn sở hữu nhiều cơ chế tinh vi để thu thập thông tin hệ thống, duy trì sự tồn tại ngay cả khi máy được khởi động lại, thậm chí còn có khả năng xóa dấu vết để tránh bị phát hiện.

Theo Microsoft, đây là mã độc "ẩn nấp tinh vi, có khả năng do thám hệ thống và đánh cắp thông tin đăng nhập cũng như crypto", trở thành công cụ đắc lực trong tay tội phạm mạng.

Dù vậy, theo ông Nguyễn Thế Vinh – đồng sáng lập và CEO Ninety Eight, “Coin98 Wallet Extension không bị StilachiRAT tấn công do có cơ chế mã hoá khác biệt”.

advertising

StilachiRAT hoạt động thế nào?

Thu thập dữ liệu, sinh tồn và ẩn mình

Để xác định các ví crypto có trên hệ thống, StilachiRAT kiểm tra cài đặt trong registry của Chrome, tìm kiếm thông tin từ đường dẫn: SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings. Sau khi xác định được các ví có trên máy, mã độc sẽ tiếp tục khai thác dữ liệu để đánh cắp thông tin đăng nhập và cấu hình ví.

StilachiRAT trích xuất khóa mã hóa (encryption_key) của Chrome, vốn được lưu trữ trong thư mục hệ thống. Nhưng vì khóa này bị mã hóa khi Chrome được cài đặt, mã độc sẽ sử dụng Windows API để giải mã khóa chính, từ đó truy cập vào toàn bộ thông tin đăng nhập của người dùng, bao gồm username và mật khẩu đã lưu trong Chrome.

Bên cạnh việc trộm dữ liệu, StilachiRAT còn quét thông tin hệ thống như phiên bản Windows, phần cứng, có camera hay không, phiên đăng nhập từ xa (RDP), các ứng dụng đang chạy... Nó sử dụng các truy vấn WMI (Windows Management Instrumentation) để lấy số serial thiết bị và tạo ID riêng biệt cho mỗi máy nhiễm mã độc.

Mã độc này cũng tự động duy trì trên hệ thống, ngăn chặn người dùng xóa bỏ. Nó có thể hoạt động như một dịch vụ Windows hoặc một phần mềm chạy ngầm, với cơ chế giám sát tự động: nếu tệp tin bị xóa, nó sẽ tự khôi phục từ bản sao nội bộ.

StilachiRAT liên kết với hai máy chủ từ xa, từ đó hacker có thể ra lệnh: khởi động lại hệ thống, xóa nhật ký, thay đổi registry, chạy ứng dụng, theo dõi cửa sổ đang mở, thậm chí hiển thị hộp thoại giả mạo để đánh lừa người dùng.

Để tránh bị phát hiện, StilachiRAT có các cơ chế xóa nhật ký sự kiện, liên tục kiểm tra xem có công cụ giám sát như tcpview.exe đang chạy hay không. Nếu phát hiện phần mềm phân tích, nó sẽ không hoạt động để tránh bị nhận diện.

StilachiRAT lây nhiễm thế nào?

Nhóm Phản hồi Sự cố của Microsoft cho biết họ "vẫn đang theo dõi các thông tin về cách thức triển khai trong các cuộc tấn công này". Tuy nhiên, các chuyên gia bảo mật đã xác định một số kịch bản phổ biến mà mã độc này có thể sử dụng để xâm nhập vào hệ thống.

Theo Microsoft, nhiều loại mã độc như StilachiRAT thường được phát tán thông qua các chiến dịch phishing – những email giả mạo chứa tệp đính kèm hoặc liên kết độc hại, đánh lừa người dùng tải về và kích hoạt mã độc mà không hề hay biết.

hinh thuc social engineering

“Mã độc đánh cắp thông tin thường tận dụng kỹ thuật social engineering để dụ dỗ người dùng tải về và chạy mã độc. Chúng có thể giả mạo dưới nhiều hình thức khác nhau, từ tệp tin tải xuống, thư mời việc làm, đến cả CAPTCHA giả khi bạn đang lướt web”, Aaron Walton – chuyên gia phân tích mối đe dọa tại Expel, giải thích.

Ngoài phishing, StilachiRAT còn có thể lây nhiễm qua các phần mềm bị chèn mã độc. Những ai thường tải phần mềm từ các website không chính thống, sử dụng phần mềm bẻ khóa (crack) hoặc tham gia vào các nền tảng chia sẻ tập tin lậu có nguy cơ vô tình cài đặt StilachiRAT mà không hay biết.

Cách bảo vệ ví crypto trước StilachiRAT

Một trong những cách phòng tránh hiệu quả nhất là sử dụng phần mềm diệt virus mạnh mẽ, đồng thời bật các công cụ chống phishing, chống mã độc trên tất cả thiết bị.

Microsoft khuyến nghị "kích hoạt tamper protection, đồng thời sử dụng endpoint detection và response trong chế độ block mode" để ngăn chặn các cuộc tấn công như StilachiRAT. Người dùng cũng nên bật chế độ bảo vệ PUA (Potentially Unwanted Applications) trong Microsoft Defender Antivirus và kích hoạt cloud-delivered protection.

Bên cạnh đó, người dùng cần hạn chế tối đa việc sao chép và dán thông tin nhạy cảm, cũng như luôn kiểm tra kỹ địa chỉ ví trước mỗi giao dịch để tránh bị mã độc thay đổi.

Ngoài ra, tính năng Matrix Password cũng giúp bảo vệ người dùng trước nhiều loại mã độc và keylogger (trình theo dõi thao tác bàn phím). “Nếu người dùng kích hoạt Matrix Password (chỉ có trên Coin98 Wallet Extension), họ có thể hoàn toàn yên tâm trước cuộc tấn công này”, ông Nguyễn Thế Vinh cho biết.

matrix password coin98

Matrix Password là một loại mật khẩu thế hệ mới, sử dụng tọa độ và số thay vì ký tự truyền thống. Loại mật khẩu này giúp chống nhìn trộm tuyệt đối: ngay cả khi có người đang nhìn trộm màn hình, họ cũng không thể biết được mật khẩu.

Người dùng có thể thiết lập Matrix Password bằng cách chọn một con số (1), chọn một tọa độ (2), sau đó nhấn giữ chuột, kéo số (1) đến đúng vị trí của tọa độ (2).

Khó đối phó với StilachiRAT

StilachiRAT là một phần của làn sóng tấn công mạng nhắm vào crypto ngày càng gia tăng. Theo báo cáo Crypto Crime 2025 của Chainalysis, “tội phạm crypto đang bước vào kỷ nguyên chuyên nghiệp hóa, với các mô hình lừa đảo ứng dụng AI, rửa tiền qua stablecoin và các tổ chức tội phạm mạng hoạt động hiệu quả. Năm qua, tổng giá trị giao dịch bất hợp pháp đã lên tới 51 tỷ USD”.

Việc StilachiRAT sở hữu các kỹ thuật ẩn mình tiên tiến, bao gồm xóa nhật ký hệ thống và tránh bị phát hiện trong môi trường ảo, phản ánh xu hướng ngày càng chuyên nghiệp hóa của các nhóm tội phạm mạng nhắm vào tài sản số.

“StilachiRAT có khả năng đánh cắp một lượng lớn dữ liệu và sở hữu cơ chế duy trì hoạt động mạnh mẽ, khiến việc đối phó trở nên cực kỳ khó khăn đối với các chuyên gia an ninh mạng”, Andrew Costis – trưởng nhóm nghiên cứu tại AttackIQ, nhận định.

Đọc thêm: Tips lưu trữ, bảo vệ crypto khỏi tấn công phủi bụi, giả mạo, mã độc

RELEVANT SERIES