Steaelite RAT
Các nhà nghiên cứu an ninh thông tin đã phát hiện ra một loại mã độc Trojan truy cập từ xa (RAT) mới dựa trên hệ điều hành Windows, có tên gọi là Steaelite, lần đầu tiên được quảng bá trên các diễn đàn tội phạm vào tháng 11 năm 2025 như một "RAT tốt nhất cho Windows" với khả năng hoàn toàn không thể phát hiện (FUD). Phần mềm độc hại này được thiết kế để hoạt động trơn tru trên cả môi trường Windows 10 và Windows 11, mở rộng đáng kể phạm vi nạn nhân tiềm năng.
Mục lục
Một nền tảng tội phạm mạng thống nhất: Kết hợp trộm cắp dữ liệu và mã độc tống tiền.
Không giống như các phần mềm RAT truyền thống được bán sẵn cho tội phạm mạng, Steaelite tích hợp nhiều khả năng tấn công vào một bảng điều khiển web tập trung duy nhất. Đặc biệt, nó kết hợp các hoạt động đánh cắp dữ liệu và triển khai mã độc tống tiền vào một khung tích hợp. Một mô-đun mã độc tống tiền dành cho Android được cho là đang trong quá trình phát triển, báo hiệu kế hoạch mở rộng sang nhiều nền tảng khác.
Bảng điều khiển quản trị cũng tích hợp nhiều tiện ích hướng đến nhà phát triển để đơn giản hóa các hoạt động độc hại, bao gồm:
- Chức năng ghi nhật ký phím
- Trò chuyện trực tiếp giữa kẻ tấn công và nạn nhân.
- Khả năng tìm kiếm tệp
- Truyền tải qua USB
- Chỉnh sửa hình nền máy tính
- Bỏ qua Kiểm soát Tài khoản Người dùng (UAC)
- Chức năng Clipper nhắm mục tiêu vào các giao dịch tiền điện tử
Sự hội tụ của các công cụ gián điệp, phá hoại và kiếm tiền vào một bảng điều khiển duy nhất phản ánh một động thái có chủ đích hướng tới hiệu quả hoạt động của các tác nhân đe dọa.
Cơ chế né tránh và duy trì phòng thủ
Steaelite tích hợp các tính năng né tránh và kiểm soát hệ thống mạnh mẽ được thiết kế để duy trì quyền thống trị đối với các hệ thống bị nhiễm. Các khả năng này bao gồm việc loại bỏ phần mềm độc hại cạnh tranh, vô hiệu hóa Microsoft Defender và cấu hình các ngoại lệ bảo mật để tránh bị phát hiện. Cơ chế duy trì đảm bảo phần mềm độc hại sống sót sau khi khởi động lại hệ thống và duy trì quyền truy cập lâu dài.
Các biện pháp đối phó tích hợp như vậy cho thấy sự hiểu biết sâu sắc về các biện pháp kiểm soát an ninh điểm cuối và kỹ thuật ứng phó sự cố.
Khả năng điều khiển và giám sát từ xa toàn diện
Về bản chất, Steaelite cung cấp khả năng quản trị và giám sát từ xa toàn diện, được thiết kế để cho phép các tác nhân đe dọa kiểm soát hoàn toàn các hệ thống bị xâm nhập. Phần mềm độc hại này cho phép thực thi mã từ xa và hỗ trợ quản lý tập tin toàn diện, bao gồm cả thực thi tập tin tùy ý. Nó tạo điều kiện cho việc truyền phát màn hình trực tiếp, cùng với quyền truy cập trực tiếp vào webcam và micro của nạn nhân, cho phép giám sát thời gian thực. Ngoài ra, nó cung cấp các chức năng quản lý tiến trình, giám sát clipboard và thu thập mật khẩu, đồng thời liệt kê các chương trình đã cài đặt và theo dõi vị trí thiết bị. Người điều hành có thể khởi chạy URL từ xa, thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và thậm chí biên dịch trực tiếp các payload VB.NET thông qua nền tảng này.
Tất cả các chức năng này được điều phối thông qua bảng điều khiển dựa trên trình duyệt, tập trung quyền kiểm soát các máy tính Windows bị nhiễm. Từ giao diện duy nhất này, tin tặc có thể thực hiện hành vi đánh cắp thông tin đăng nhập, đánh cắp các tập tin nhạy cảm, tiến hành giám sát trực tiếp và triển khai phần mềm tống tiền mà không cần thêm công cụ hoặc cơ sở hạ tầng nào khác.
Tạo điều kiện cho các hoạt động tống tiền kép được tinh giản.
Kiến trúc của Steaelite cho phép một tác nhân đe dọa duy nhất thực hiện các hoạt động xâm nhập toàn diện mà không cần chuyển đổi công cụ. Các tập tin có thể được duyệt và đánh cắp, thông tin đăng nhập có thể bị thu thập và phần mềm tống tiền có thể được triển khai từ cùng một bảng điều khiển.
Việc hợp nhất này cho phép thực hiện các chiến dịch tống tiền kép một cách hiệu quả, trong đó dữ liệu bị đánh cắp được tận dụng cùng với mã hóa để tối đa hóa áp lực tài chính lên nạn nhân, tất cả được điều phối thông qua một nền tảng thống nhất duy nhất.
