Snake Keylogger: Mối đe dọa âm thầm nhưng nguy hiểm
Snake Keylogger là một loại phần mềm độc hại (malware) chuyên đánh cắp thông tin nhạy cảm như tài khoản đăng nhập, dữ liệu clipboard, và ghi lại thao tác bàn phím (keylogging). Được phát hiện lần đầu vào tháng 11 năm 2020, mã độc này được viết bằng ngôn ngữ .NET và có cấu trúc modular, cho phép mở rộng chức năng tùy theo mục tiêu tấn công
Điểm đặc biệt của Snake Keylogger là khả năng ẩn mình và vượt qua các hệ thống phòng thủ bằng cách sử dụng nhiều phương thức truyền tải dữ liệu như FTP, SMTP và Telegram. Ngoài ra, nó còn sử dụng kỹ thuật mã hóa AES và obfuscation để che giấu mã độc trong phần tài nguyên (.RSRC) của file thực thi, khiến việc phát hiện trở nên khó khăn
Chiến dịch mạo danh TUSAŞ: Tấn công có chủ đích vào lĩnh vực quốc phòng
Trong năm 2025, một chiến dịch tấn công mạng có chủ đích (APT) đã được phát hiện, trong đó hacker sử dụng Snake Keylogger để mạo danh TUSAŞ – Tập đoàn Công nghiệp Hàng không Vũ trụ Thổ Nhĩ Kỳ – nhằm đánh cắp dữ liệu từ các tổ chức quốc phòng và công nghệ cao.
Chiến dịch này được thực hiện thông qua các email giả mạo có nội dung tuyển dụng hoặc hợp tác kỹ thuật, đính kèm file PDF hoặc tài liệu Word chứa macro độc hại. Khi người dùng mở file và kích hoạt macro, mã độc Snake Keylogger sẽ được tải về và âm thầm hoạt động trong hệ thống.
Mục tiêu của chiến dịch bao gồm:
- Thu thập thông tin hệ thống (System Discovery – T1082)
- Đánh cắp dữ liệu đăng nhập và tài liệu nội bộ
- Ghi lại thao tác bàn phím để truy cập vào các hệ thống bảo mật
- Truyền dữ liệu về máy chủ điều khiển (C&C) thông qua các kênh mã hóa
Cảnh báo và biện pháp phòng ngừa
Các chuyên gia an ninh mạng khuyến cáo:
- Không mở file đính kèm từ nguồn không xác thực, đặc biệt là các email tuyển dụng hoặc hợp tác kỹ thuật.
- Vô hiệu hóa macro trong Microsoft Office nếu không cần thiết.
- Cập nhật phần mềm diệt virus và hệ điều hành thường xuyên để vá các lỗ hổng bảo mật.
- Giám sát lưu lượng mạng để phát hiện các kết nối bất thường đến các máy chủ C&C.