'Đại dịch mạng' - Nguy cơ mã độc Infostealer đánh cắp thông tin sau khi hàng tỷ thông tin đăng nhập bị rò rỉ

Dù mức độ ảnh hưởng thực tế của những dữ liệu bị rò rỉ vẫn chưa được xác định rõ, nhưng quy mô của phát hiện này đã gióng lên hồi chuông cảnh báo về sự bùng phát của loại mã độc có tên “infostealer” – phần mềm độc hại chuyên đánh cắp dữ liệu nhạy cảm từ người dùng.

Ông Volodymyr Diachenko, đồng sáng lập công ty an ninh mạng SecurityDiscovery, là người đã phát hiện các tập dữ liệu này từ đầu năm đến nay. Theo ông, chúng có cấu trúc tương tự nhau: gồm URL, tên đăng nhập và mật khẩu – dấu hiệu cho thấy đây là sản phẩm của các chiến dịch sử dụng infostealer.

Có ai đó, ở đâu đó, đang bị rút dữ liệu khỏi máy của họ ngay lúc này.

Mặc dù các danh sách tài khoản có thể chứa dữ liệu trùng lặp hoặc đã lỗi thời, nhưng con số khổng lồ 16 tỷ tài khoản cho thấy lượng dữ liệu cá nhân đang bị rò rỉ trên mạng là vô cùng lớn. Theo Diachenko, mối đe dọa từ infostealer đã trở thành “đại dịch mạng” thời hiện đại.

Ông phát hiện ra những dữ liệu này vì một số người dùng đã vô tình chia sẻ công khai chúng trên mạng mà không đặt mật khẩu bảo vệ. Công ty của ông thường xuyên phát hiện các vụ rò rỉ dữ liệu như vậy, nhưng chưa lần nào quy mô lại lớn như năm nay.

Mã độc infostealer: Mối nguy ngày càng phổ biến

Ông Simon Green, Chủ tịch khu vực Châu Á – Thái Bình Dương và Nhật Bản tại Palo Alto Networks, cho biết các mã độc infostealer hiện đại được thiết kế với kỹ thuật né tránh tiên tiến, dễ dàng vượt qua những hệ thống bảo mật truyền thống dựa trên chữ ký, khiến việc phát hiện và ngăn chặn càng trở nên khó khăn.

Con số 16 tỷ tài khoản bị lộ thật sự đáng báo động, nhưng không quá bất ngờ đối với giới chuyên gia an ninh mạng.

Hệ quả là các cuộc tấn công sử dụng infostealer ngày càng gia tăng. Chẳng hạn, hồi tháng 3, nhóm Tình báo An ninh của Microsoft đã tiết lộ một chiến dịch toàn cầu sử dụng infostealer, ảnh hưởng đến gần 1 triệu thiết bị.

Infostealer thường xâm nhập thiết bị nạn nhân thông qua các thủ đoạn đánh lừa – từ email giả mạo, trang web lừa đảo đến quảng cáo trên công cụ tìm kiếm. Động cơ chính của các cuộc tấn công này là tài chính: chiếm đoạt tài khoản ngân hàng, thẻ tín dụng, ví tiền điện tử, hoặc sử dụng thông tin để mạo danh, lừa đảo.

Tội phạm mạng cũng sử dụng những dữ liệu bị đánh cắp để tạo ra các chiến dịch lừa đảo tinh vi và cá nhân hóa, hoặc tống tiền cá nhân, tổ chức. Điều đáng ngại hơn, theo ông Green, là sự phát triển mạnh mẽ của các chợ đen ngầm cung cấp dịch vụ “Tội phạm mạng dưới dạng dịch vụ” (Cybercrime-as-a-Service), nơi bán các công cụ, dữ liệu và dịch vụ độc hại cho bất kỳ ai có nhu cầu.

Cybercrime-as-a-Service chính là yếu tố thúc đẩy chính – nó đã dân chủ hóa tội phạm mạng, giúp bất kỳ ai cũng có thể tham gia.

Những thị trường ngầm này, thường nằm trong "Dark Web" (trang web đen), tạo ra nhu cầu lớn về việc đánh cắp thông tin cá nhân để bán lại cho các đối tượng lừa đảo. Từ đó, các vụ rò rỉ dữ liệu không chỉ còn là vấn đề cá nhân, mà trở thành mối nguy hệ thống – một “mạng lưới thông tin bị xâm phạm” khổng lồ có thể kích hoạt các cuộc tấn công tiếp theo.

Theo ông Diachenko, một phần dữ liệu ông phát hiện rất có thể đã hoặc sẽ bị bán cho các nhóm lừa đảo trên mạng.

Ngoài ra, các bộ công cụ mã độc và tài nguyên để thực hiện tấn công infostealer cũng được rao bán công khai trên các chợ đen, làm giảm đáng kể rào cản kỹ thuật cho những kẻ tấn công, cho phép chúng thực hiện các cuộc tấn công quy mô toàn cầu. Theo CNBC, các cuộc tấn công bằng infostealer đã tăng tới 58% trong năm 2024.

Làm gì để bảo vệ bản thân?

Trước sự phổ biến ngày càng lớn của phần mềm độc hại và mức độ sử dụng internet, ông Ismael Valenzuela, Phó chủ tịch nghiên cứu và tình báo đe dọa tại công ty Arctic Wolf, cảnh báo rằng hầu hết mọi người đều có nguy cơ tiếp xúc với infostealer ở một thời điểm nào đó.

Ông khuyến cáo người dùng nên cập nhật mật khẩu thường xuyên, cảnh giác với các phần mềm, ứng dụng hoặc file tải về không rõ nguồn gốc. Ngoài ra, việc kích hoạt xác thực hai yếu tố (MFA) cũng ngày càng trở nên cần thiết.

Về phía doanh nghiệp, cần áp dụng kiến trúc "Zero Trust", tức là không chỉ xác thực người dùng, mà còn xác thực thiết bị và hành vi của họ một cách liên tục.

Chính phủ các nước cũng đang hành động mạnh mẽ hơn để đối phó. Hồi tháng 5, Trung tâm Tội phạm mạng Châu Âu của Europol phối hợp cùng Microsoft và các cơ quan quốc tế để triệt phá mã độc “Lumma”, được mệnh danh là “mối đe dọa infostealer lớn nhất thế giới”.