Chihuahua Stealer – một mã độc đánh cắp dữ liệu (infostealer) mới được phát hiện vào tháng 4/2025, với mục tiêu đánh cắp dữ liệu người dùng bằng cách sử dụng kết hợp nhiều kỹ thuật né tránh hiện đại với khả năng mã hóa dữ liệu tinh vi. Dựa trên nền tảng .NET, Chihuahua kết hợp các thủ thuật phổ biến trong thế giới malware với những tính năng nâng cao hiếm gặp, ít khi được ghi nhận trong các chiến dịch thông thường, khiến việc phát hiện và phân tích trở nên khó khăn hơn.
Quá trình lây nhiễm của Chihuahua bao gồm 5 giai đoạn chính. Giai đoạn khởi đầu là một đoạn mã PowerShell được mã hóa bằng Base64, giúp vượt qua các chính sách thực thi mặc định. Giai đoạn hai tải về payload chính ở dạng hex đã được làm rối, sử dụng kỹ thuật thực thi thời gian thực để dựng payload tiếp theo. Sau khi thiết lập thành công, mã độc tạo một tác vụ theo lịch có tên f90g30g82, thực thi mỗi phút để kiểm tra sự tồn tại của file đánh dấu mang đuôi .normaldaki.
Khi nhận diện được dấu hiệu nhiễm, mã độc kết nối đến các máy chủ điều khiển từ xa (C2) như cdn.findfakesnake.xyz hoặc cat-watches-site.xyz để nhận lệnh tiếp theo. Payload chính – thành phần đánh cắp dữ liệu – được tải trực tiếp vào bộ nhớ từ các URL, sử dụng kỹ thuật Reflection để tránh ghi xuống đĩa, qua đó né tránh các giải pháp chống mã độc truyền thống.
Một chi tiết đáng chú ý là mã độc mở đầu bằng hàm Dedmaxim(), hiển thị một đoạn rap tiếng Nga (phiên âm) lên màn hình console – có thể xem là một dạng “chữ ký” hoặc dấu hiệu văn hóa của lập trình viên phía sau chiến dịch.
Khi chính thức hoạt động, Chihuahua thực hiện chuỗi hành vi trích xuất thông tin: từ thu thập dữ liệu hệ thống qua WMI (tên máy, serial ổ đĩa), đến đánh cắp dữ liệu trình duyệt và ví điện tử, bao gồm tên đăng nhập, cookie, thông tin autofill từ các tiện ích mở rộng có ID đã biết. Toàn bộ dữ liệu sau đó được nén thành file có định dạng .chihuahua.
Điểm đặc biệt của Chihuahua nằm ở cơ chế mã hóa AES-GCM thông qua API CNG của Windows – một lựa chọn bảo mật có xác thực, hiếm gặp trong các chiến dịch stealer phổ thông. Tệp dữ liệu mã hóa (mang tên dạng <victimID>VZ) được truyền về C2 tại flowers.hold-me-finger.xyz/index2.php.
Kết thúc chu trình, mã độc tiến hành tự xóa: gỡ bỏ tác vụ theo lịch, xóa các file tạm và xóa sạch console output – qua đó giảm khả năng bị phát hiện hoặc phân tích sau sự cố.
Về mặt chiến thuật, Chihuahua sử dụng nhiều lớp né tránh: thực thi hoàn toàn trong bộ nhớ, kết hợp Scheduled Task với file đánh dấu độc quyền, obfuscation đa tầng (Base64 + Hex), mã hóa AES-GCM và truyền dữ liệu qua HTTPS outbound.
Để phát hiện và ngăn chặn Chihuahua Stealer, các đội ngũ bảo mật cần áp dụng phương pháp giám sát hành vi thay vì chỉ dựa vào chữ ký truyền thống. Việc tăng cường khả năng phát hiện thực thi PowerShell bất thường, cảnh báo các file lạ với đuôi .chihuahua hoặc .normaldaki trong thư mục tạm, và giám sát các yêu cầu HTTPS bất thường đến các tên miền lạ.
