Hơn 200.000 mật khẩu bị đánh cắp chỉ bằng một mã độc, nghi vấn hacker Việt đứng sau?

Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch phát tán mã độc đánh cắp thông tin có tên PXA Stealer, được cho là do nhóm tin tặc sử dụng tiếng Việt đứng sau. Mã độc này được viết bằng ngôn ngữ lập trình Python và đã được triển khai để tấn công hơn 4.000 địa chỉ IP tại ít nhất 62 quốc gia, bao gồm Hàn Quốc, Mỹ, Hà Lan, Hungary và Áo.

Thông tin do Beazley Security và SentinelOne công bố trong báo cáo chung gửi tới The Hacker News cho biết, chiến dịch phát tán mã độc này được tổ chức một cách bài bản, với quy trình tự động hoá thông qua các API của Telegram để thu thập, phân phối và kinh doanh dữ liệu bị đánh cắp. Các nhà nghiên cứu bảo mật cho biết mã độc này đã đánh cắp được hơn 200.000 mật khẩu duy nhất, hàng trăm thông tin thẻ tín dụng và hơn 4 triệu cookie trình duyệt.

PXA Stealer từng được Cisco Talos phát hiện lần đầu vào tháng 11/2024, khi nó nhắm vào các tổ chức chính phủ và giáo dục tại châu Âu và châu Á. Mã độc này có khả năng thu thập thông tin đăng nhập, dữ liệu điền tự động của trình duyệt, ví tiền mã hóa, cũng như thông tin từ các tổ chức tài chính.

Chiến dịch năm 2025 đã có nhiều cải tiến chiến thuật nhằm tránh bị phát hiện. Cụ thể, nhóm tấn công sử dụng kỹ thuật “DLL side-loading” kết hợp với nhiều lớp tải mã độc phức tạp, khiến cho việc phân tích trở nên khó khăn hơn. Trước khi triển khai mã độc chính, một tài liệu giả mạo - như thông báo vi phạm bản quyền - sẽ được hiển thị để đánh lừa nạn nhân.

Phiên bản cập nhật của PXA Stealer được bổ sung nhiều tính năng tinh vi hơn, bao gồm việc tiêm mã vào các trình duyệt nền tảng Chromium để vượt qua các biện pháp mã hóa, cũng như trích xuất dữ liệu từ ứng dụng VPN, công cụ dòng lệnh của dịch vụ lưu trữ đám mây, các tệp chia sẻ và ứng dụng như Discord.

Một điểm đáng chú ý là mã độc này sử dụng các Bot ID và Chat ID trên Telegram để truyền tải dữ liệu đánh cắp. Các kênh Telegram này đóng vai trò là kho dữ liệu và kênh thông báo cho các đối tượng điều hành. Dữ liệu sau đó được đưa lên các nền tảng ngầm như “Sherlock” - nơi chuyên buôn bán nhật ký đánh cắp từ các phần mềm stealer - để phục vụ cho các hoạt động tiếp theo như chiếm đoạt tài khoản, rút tiền mã hóa hoặc xâm nhập vào tổ chức.

Theo nhận định từ nhóm chuyên gia, mối đe dọa từ PXA Stealer hiện đã phát triển thành một hệ thống đa tầng phức tạp, khó bị phát hiện và được vận hành bởi các nhóm tội phạm mạng nói tiếng Việt, có liên hệ với các chợ đen hoạt động trên nền tảng Telegram. Chiến dịch này một lần nữa cho thấy mức độ tinh vi ngày càng cao của các hoạt động tấn công mạng xuất phát từ khu vực Đông Nam Á, đồng thời đặt ra thách thức lớn đối với các cơ quan bảo mật toàn cầu trong việc phát hiện, ngăn chặn và xử lý triệt để các mối đe dọa mạng xuyên biên giới.