Tội phạm mạng đã không lãng phí thời gian vào năm 2025. Sự gia tăng mạnh mẽ của phần mềm độc hại infostealer đang thúc đẩy các thị trường dark web, xâm nhập hệ thống doanh nghiệp và làm lộ thông tin đăng nhập trên quy mô lớn – với những hậu quả tàn khốc. Hãy tìm hiểu lý do tại sao infostealer là mối đe dọa mạng hàng đầu vào năm 2025 và cách các nhóm bảo mật có thể chống trả.

Tội phạm mạng đã không lãng phí thời gian vào năm 2025 khi phần mềm độc hại infostealer đã gây ra nhiều tiêu đề lớn. Từ thông tin đăng nhập bị đánh cắp đến các mạng công ty bị xâm nhập, các tác nhân đe dọa đang leo thang các cuộc tấn công của họ, thúc đẩy các thị trường dark web và khiến các tổ chức phải đối mặt với những rủi ro bảo mật lớn. Một số sự cố lớn vào đầu năm 2025 đã làm nổi bật mức độ phổ biến và tinh vi của các mối đe dọa này.

Một infostealer mới được phát hiện, FleshStealer, đã được tìm thấy đang nhắm mục tiêu vào các trình duyệt web, ví tiền điện tử và tiện ích mở rộng 2FA. Phần mềm độc hại lén lút này sử dụng các chiến thuật lẩn tránh tiên tiến, bao gồm mã hóa và tự hủy, khiến việc phát hiện và phân tích cực kỳ khó khăn.

Các tác nhân đe dọa cũng đã sử dụng phần mềm độc hại infostealer để xâm phạm thông tin đăng nhập của nhiều nhân viên Telefonica, cấp cho chúng quyền truy cập vào hệ thống quản lý yêu cầu nội bộ của công ty. Kẻ tấn công được cho là đã đánh cắp một danh sách chứa 24.000 email và tên nhân viên, 500.000 bản tóm tắt các vấn đề Jira nội bộ và 5.000 tài liệu nội bộ, bao gồm cả các thông tin liên lạc qua email nội bộ.

Trong một chiến dịch gần đây khác, kẻ tấn công đã phát tán phần mềm độc hại infostealer ngụy trang dưới dạng một khai thác bằng chứng khái niệm (PoC) cho lỗ hổng Giao thức Truy cập Thư mục Hạng nhẹ Windows (LDAP). Chiến thuật này không chỉ lừa các nhà nghiên cứu bảo mật mà còn làm nổi bật các phương pháp phát triển mà các tác nhân đe dọa sử dụng để phát tán infostealer.

Sau đó vào tháng 2, vụ rò rỉ Black Basta đã gây chấn động khi tiết lộ rằng nhiều thông tin đăng nhập dường như có nguồn gốc từ nhật ký phần mềm độc hại infostealer, cho thấy bảo mật thông tin đăng nhập quan trọng như thế nào trong việc ngăn chặn các cuộc tấn công.

Những sự cố này làm rõ một điều: Infostealer phải là ưu tiên hàng đầu của các nhóm SOC, thợ săn mối đe dọa và các nhóm bảo mật. Những mối đe dọa thầm lặng này không tự thông báo bằng yêu cầu tiền chuộc — chúng xâm nhập, đánh cắp và cho phép các cuộc tấn công nguy hiểm hơn sau này.

Chúng tôi gần đây đã chia sẻ tổng quan về infostealer, nhưng khi các cuộc tấn công này gia tăng, hãy nhanh chóng tóm tắt lý do tại sao chúng lại là mối đe dọa nghiêm trọng đối với các tổ chức vào năm 2025.

Tại Sao Infostealer Là Mối Đe Dọa Ngày Càng Tăng trong Năm 2025

Những sự cố gần đây không phải là điều ngạc nhiên khi hoạt động của infostealer đã tăng vọt 266% trong những năm gần đây. Nhưng tại sao đây lại là một chiến thuật hấp dẫn đối với các tác nhân đe dọa như vậy? Trước hết, nó không phân biệt đối xử. Nó có thể nhắm mục tiêu vào bất kỳ cá nhân hoặc tổ chức nào nắm giữ dữ liệu có giá trị tiềm năng — điều này bao gồm dữ liệu tài chính như số thẻ tín dụng và chi tiết ngân hàng, mật khẩu và thông tin đăng nhập cũng như lịch sử duyệt web hoặc thông tin nhận dạng cá nhân (PII). Ngoài phạm vi nạn nhân tiềm năng rộng lớn, Infostealer đang gia tăng vì một số lý do chính:

Truy cập Dễ dàng, Chi phí Thấp vào Dữ liệu Giá trị

Không giống như ransomware, yêu cầu tương tác trực tiếp với nạn nhân, infostealer hoạt động âm thầm, thu thập thông tin đăng nhập, chi tiết thanh toán, cookie phiên và thông tin hệ thống. Sau khi bị đánh cắp, những tài sản này có thể được bán trên các thị trường dark web hoặc được sử dụng cho các cuộc tấn công tiếp theo.

Thông tin đăng nhập giá trị hơn bao giờ hết

Kẻ tấn công có thể sử dụng chúng để chiếm đoạt tài khoản (ATOs), gián điệp hoặc di chuyển ngang trong mạng. Và giờ đây, với các thị trường tội phạm mạng đã phát triển, thông tin đăng nhập bị đánh cắp có thể được kiếm tiền gần như ngay lập tức trên các diễn đàn dark web, nhóm Telegram và các cửa hàng tự động.

Tính Lén lút và Bền bỉ

Infostealer hoạt động ở chế độ nền, thường không bị phát hiện trong thời gian dài, cho phép kẻ tấn công thu thập một luồng thông tin đăng nhập mới liên tục.

Không cần tương tác với nạn nhân. Không giống như các vụ lừa đảo hay tấn công kỹ thuật xã hội, infostealer không dựa vào tương tác của người dùng sau khi được triển khai.

Tỷ lệ phát hiện thấp

Nhiều infostealer sử dụng các kỹ thuật mã hóa, chống gỡ lỗi và làm rối mã để vượt qua các công cụ bảo mật như EDR và phần mềm antivirus.

Sự cố LDAP vào tháng 1 làm nổi bật cách các tác nhân đe dọa không còn chỉ dựa vào lừa đảo hay kỹ thuật xã hội để phát tán phần mềm độc hại. Thay vào đó, bằng cách vũ khí hóa các công cụ bảo mật có sẵn công khai và khai thác mã, chúng có thể vượt qua các phương pháp phát hiện truyền thống và có quyền truy cập vào các thông tin đăng nhập có giá trị mà không cần tương tác trực tiếp với người dùng.

Tạo điều kiện cho các Cuộc tấn công Lớn hơn, Lợi nhuận hơn

Infostealer hoạt động như một bước đệm cho các hoạt động tội phạm mạng lớn hơn:

• Triển khai Ransomware – Các tác nhân đe dọa sử dụng thông tin đăng nhập bị đánh cắp để vượt qua các biện pháp kiểm soát bảo mật, leo thang đặc quyền và triển khai ransomware bên trong mạng công ty.
• Tấn công Chiếm đoạt Email Doanh nghiệp (BEC) – Kẻ tấn công có quyền truy cập vào email công ty và mạo danh các giám đốc điều hành để đánh cắp tiền.
• Tấn công Chuỗi cung ứng – Thông tin đăng nhập bị đánh cắp cho phép kẻ tấn công xâm nhập các nhà cung cấp bên thứ ba, mở rộng bề mặt tấn công của chúng.

Như đã thấy trong trường hợp Telefonica vào tháng 1, các vụ lây nhiễm đã cung cấp cho tin tặc thông tin đăng nhập cần thiết để xâm nhập hệ thống và sau đó được sử dụng để mở rộng quyền truy cập hơn nữa thông qua các chiến thuật kỹ thuật xã hội tinh vi.

Phân phối hàng loạt với nỗ lực tối thiểu

Infostealer dễ triển khai và lây lan qua nhiều vectơ tấn công khác nhau:

• Email lừa đảo và quảng cáo độc hại – Hóa đơn giả mạo, lời mời làm việc hoặc quảng cáo lừa nạn nhân tải xuống phần mềm độc hại.
• Phần mềm bị mã hóa độc hại – Nhiều infostealer được ngụy trang thành các bản crack phần mềm miễn phí, mod hoặc công cụ, nhắm mục tiêu vào người dùng không nghi ngờ.
• Đầu độc SEO và tải xuống tự động (drive-by downloads) – Kẻ tấn công thao túng kết quả tìm kiếm để lừa người dùng tải xuống các tệp bị nhiễm.

Infostealer Malware-as-a-Service (MaaS) giúp dễ tiếp cận

Nhiều infostealer được bán dưới dạng dịch vụ dựa trên đăng ký, nghĩa là ngay cả những kẻ tấn công có kỹ năng thấp cũng có thể khởi động các chiến dịch đánh cắp thông tin đăng nhập mà không cần viết một dòng mã nào.

Điểm mấu chốt là gì? Infostealer yêu cầu nỗ lực tối thiểu nhưng mang lại giá trị tối đa cho các tác nhân đe dọa, cho phép đánh cắp thông tin đăng nhập, truy cập trái phép và các cuộc tấn công mạng quy mô lớn. Các nhóm SOC và bảo mật phải hành động nhanh chóng — phát hiện, phá vỡ và phòng thủ chống lại các mối đe dọa này trước khi dữ liệu bị đánh cắp bị vũ khí hóa.

Cách Các Nhóm SOC và Thợ Săn Mối Đe Dọa Có Thể Đi Trước Infostealer

Để phòng thủ chống lại sự gia tăng của infostealer, các nhóm SOC và thợ săn mối đe dọa phải áp dụng cách tiếp cận bảo mật chủ động, đa lớp, bắt đầu bằng việc bảo vệ danh tính. Để tìm hiểu thêm về các mối đe dọa infostealer mới nhất, hãy xem báo cáo mới: Inside the Infostealer Epidemic: Exposing the Risks to Corporate Security.

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!

Thông tin hãng cung cấp giải pháp