Cảnh báo mã độc âm thầm chụp ảnh webcam khi người dùng xem nội dung nhạy cảm để tống tiền

Theo báo cáo từ các nhà nghiên cứu tại công ty an ninh mạng Proofpoint, kể từ tháng 5/2025, ghi nhận sự gia tăng đáng kể trong việc sử dụng một loại phần mềm độc hại mã nguồn mở có tên là Stealerium. Mặc dù phần mềm này đã có sẵn trên GitHub từ năm 2022 với định danh dành cho "mục đích giáo dục", nhưng gần đây nó đã trở thành công cụ đắc lực cho tin tặc nhờ các tính năng xâm phạm quyền riêng tư nghiêm trọng.

Cơ chế hoạt động tinh vi

Khác với các phần mềm đánh cắp thông tin thông thường, Stealerium sở hữu một tính năng "vũ khí hóa" nguy hiểm: nó theo dõi trình duyệt web của nạn nhân để tìm kiếm các từ khóa nhạy cảm như "sex" và "porn" (có thể được kẻ tấn công tùy chỉnh).

 

Ngay khi phát hiện nạn nhân mở một tab trình duyệt chứa nội dung người lớn, Stealerium sẽ đồng thời thực hiện hai hành động: Chụp ảnh màn hình nội dung đang được xem và kích hoạt webcam để chụp ảnh khuôn mặt của nạn nhân.

Những hình ảnh này sau đó được gửi về cho kẻ tấn công, cung cấp cho chúng bằng chứng thực tế để thực hiện hành vi tống tiền.

Trước khi Stealerium xuất hiện, kẻ gian thường tuyên bố đã hack webcam và quay lại cảnh nhạy cảm của nạn nhân, nhưng thực chất đó chỉ là lời bịa đặt. Đôi khi, kẻ tống tiền gửi kèm hình ảnh nhà của nạn nhân lấy từ Google Maps hoặc thông tin từ mạng xã hội để tăng tính thuyết phục.

 

Tuy nhiên, Stealerium đã thay đổi hoàn toàn cục diện. Với dữ liệu và hình ảnh nhạy cảm thực sự trong tay, kẻ tấn công sẽ liên lạc và đe dọa gửi những hình ảnh đó cho bạn bè, người thân của nạn nhân nếu không nhận được tiền chuộc. Ông Kyle Cucci - nhà nghiên cứu của Proofpoint - nhận định rằng một phần mềm độc hại tự động chụp ảnh webcam khi phát hiện nội dung khiêu dâm là điều "hầu như chưa từng có" trước đây.

Khả năng đánh cắp dữ liệu đa dạng và cách phòng tránh

Ngoài khả năng chụp ảnh lén, Stealerium vẫn hoạt động như một phần mềm đánh cắp thông tin truyền thống. Nó thu thập thông tin đăng nhập trình duyệt (tên người dùng, mật khẩu), dữ liệu thẻ thanh toán và thậm chí cả thông tin ví tiền điện tử.

 

Mã độc này thường lây lan qua các email lừa đảo (phishing) dưới dạng hóa đơn, giấy triệu tập tòa án hoặc yêu cầu đặt chỗ. Các email này chứa tệp đính kèm độc hại (ZIP, ISO, VBScript...) hoặc liên kết dẫn đến trang web xấu. Đáng chú ý, Stealerium sử dụng PowerShell để ẩn mình và tránh bị các phần mềm diệt virus phát hiện.

Để phòng tránh, Proofpoint khuyến cáo các tổ chức và cá nhân nên cảnh giác với các hoạt động hệ thống đáng ngờ như lệnh "netsh wlan", các sử dụng ngoại lệ của PowerShell Defender hoặc việc trình duyệt Chrome chạy ngầm không giao diện người dùng. Ngoài ra, việc che webcam khi không sử dụng cũng là một biện pháp vật lý hữu hiệu được nhắc đến.