REMUS Infostealer đang tiến hóa thành nền tảng malware‑as‑a‑service chuyên đánh cắp danh tính
REMUS là một infostealer mới có liên hệ kỹ thuật với Lumma Stealer và đã phát triển thành mô hình malware‑as‑a‑service có thể đánh cắp session trình duyệt, token xác thực và dữ liệu từ password manager. Malware này hiện nhắm tới các extension quản lý mật khẩu như 1Password, LastPass và Bitwarden, đồng thời sử dụng E...
What does the latest research reveal about how the REMUS infostealer has evolved from Lumma Stealer’s successor into a full malware-as-a-serSecurity researchers say the REMUS infostealer represents a new generation of identity‑focused malware targeting browser sessions, password managers, and authentication tokens.
Prompt AI
Create a landscape editorial hero image for this Studio Global article: What does the latest research reveal about how the REMUS infostealer has evolved from Lumma Stealer’s successor into a full malware-as-a-ser. Article summary: REMUS appears to have moved from a Lumma-like successor into a commercialized, fast-evolving Malware-as-a-Service platform focused on identity theft rather than simple password scraping. The larger shift is that 2026 inf. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "Attack flow diagram displaying the Lumma Stealer affiliate using the ClickFix technique to socially engineer users to ultimately download and deploy Lumma on their device, which ex" source context "Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer | Microsoft Security Blo" Reference
openai.com
Phần lớn infostealer malware trước đây chủ yếu tập trung đánh cắp mật khẩu trình duyệt hoặc ví tiền mã hóa. Tuy nhiên, thế hệ mới đang chuyển sang mục tiêu lớn hơn: đánh cắp danh tính số hoàn chỉnh.
Các nghiên cứu bảo mật gần đây cho thấy REMUS infostealer đã nhanh chóng phát triển từ một công cụ đánh cắp thông tin liên quan đến Lumma thành một nền tảng malware‑as‑a‑service (MaaS) hoàn chỉnh. Nó có thể thu thập session trình duyệt, token xác thực và dữ liệu từ trình quản lý mật khẩu, cho phép kẻ tấn công chuyển từ một máy bị nhiễm sang chiếm quyền tài khoản doanh nghiệp nhanh hơn nhiều so với các dòng malware cũ.
Từ Lumma Stealer đến REMUS
REMUS có mối liên hệ kỹ thuật rõ ràng với Lumma Stealer, một họ malware đánh cắp dữ liệu nổi tiếng đã được bán theo mô hình malware‑as‑a‑service trên các diễn đàn ngầm từ ít nhất năm 2022.
Các nhà nghiên cứu phát hiện REMUS xuất hiện trong các chiến dịch tấn công từ đầu năm 2026, với nhiều kỹ thuật giống Lumma như:
che giấu chuỗi ký tự (string obfuscation)
kiểm tra môi trường máy ảo để tránh phân tích
các kỹ thuật né tránh phân tích mã độc
Những điểm tương đồng này cho thấy REMUS có thể là phiên bản tiến hóa hoặc nhánh fork của hệ sinh thái Lumma, và hai dòng malware hiện vẫn hoạt động song song ngoài thực tế.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Câu trả lời ngắn gọn cho "REMUS Infostealer đang tiến hóa thành nền tảng malware‑as‑a‑service chuyên đánh cắp danh tính" là gì?
REMUS là một infostealer mới có liên hệ kỹ thuật với Lumma Stealer và đã phát triển thành mô hình malware‑as‑a‑service có thể đánh cắp session trình duyệt, token xác thực và dữ liệu từ password manager.
Những điểm chính cần xác nhận đầu tiên là gì?
REMUS là một infostealer mới có liên hệ kỹ thuật với Lumma Stealer và đã phát triển thành mô hình malware‑as‑a‑service có thể đánh cắp session trình duyệt, token xác thực và dữ liệu từ password manager. Malware này hiện nhắm tới các extension quản lý mật khẩu như 1Password, LastPass và Bitwarden, đồng thời sử dụng EtherHiding và đánh cắp session/token để vượt qua nhiều cơ chế MFA.
Tôi nên làm gì tiếp theo trong thực tế?
Xu hướng mới cho thấy tin tặc không chỉ đánh cắp mật khẩu mà còn chiếm luôn trạng thái đăng nhập, khiến việc xâm nhập doanh nghiệp diễn ra nhanh và quy mô lớn hơn.
Malware‑as‑a‑Service: tội phạm mạng đang “thương mại hóa” công cụ tấn công
Phân tích hoạt động trên các diễn đàn ngầm cho thấy REMUS được phát triển theo mô hình dịch vụ malware thương mại hóa.
Điều này có nghĩa là nhiều nhóm tấn công khác nhau có thể thuê hoặc mua quyền sử dụng REMUS để triển khai chiến dịch của riêng mình. Các nhà nghiên cứu đã phát hiện hơn 100 bài đăng liên quan đến hệ sinh thái REMUS trên các diễn đàn underground chỉ trong vài tháng đầu năm 2026.
Mô hình MaaS giúp malware lan rộng nhanh chóng, biến một công cụ tấn công chuyên biệt thành nền tảng đánh cắp thông tin quy mô lớn.
Nhắm vào dữ liệu của trình quản lý mật khẩu
Một bước tiến đáng lo ngại của REMUS là khả năng tấn công các extension trình quản lý mật khẩu trên trình duyệt.
Các báo cáo cho thấy malware có thể thu thập dữ liệu từ các tiện ích như:
1Password
LastPass
Bitwarden
REMUS được cho là truy xuất dữ liệu từ các khu vực lưu trữ của trình duyệt như IndexedDB, nơi nhiều extension lưu trữ dữ liệu hoạt động hoặc dữ liệu vault đã mã hóa.
Mặc dù cơ chế mã hóa của password manager vẫn bảo vệ phần lớn nội dung vault, kẻ tấn công vẫn có thể thu thập:
metadata
token phiên
thông tin phục hồi hoặc cấu trúc vault
Những dữ liệu này có thể giúp tăng khả năng xâm nhập tiếp theo.
Password manager là mục tiêu cực kỳ giá trị vì chúng thường lưu trữ thông tin đăng nhập cho:
nền tảng SaaS
tài khoản quản trị doanh nghiệp
hệ thống VPN
hạ tầng phát triển
tài khoản cá nhân
Vì vậy, một máy bị nhiễm malware có thể làm lộ hàng chục hoặc hàng trăm danh tính số khác nhau.
Đánh cắp session và token để vượt qua MFA
Một thay đổi lớn khác trong REMUS là tập trung vào đánh cắp session và token xác thực.
Thay vì chỉ lấy mật khẩu, malware hiện thu thập:
cookie trình duyệt
token xác thực
session ứng dụng đang hoạt động
Những dữ liệu này đại diện cho trạng thái đã đăng nhập, vì vậy kẻ tấn công có thể tái sử dụng chúng để truy cập dịch vụ mà không cần đăng nhập lại.
Kết quả là nhiều hệ thống MFA (xác thực đa yếu tố) có thể bị bỏ qua vì không có quá trình đăng nhập mới được kích hoạt.
Điều này làm giảm đáng kể thời gian từ lúc máy bị nhiễm malware đến khi kẻ tấn công truy cập hệ thống doanh nghiệp.
EtherHiding: hạ tầng C2 ẩn trong blockchain
REMUS cũng thay đổi cách vận hành hạ tầng điều khiển malware.
Các nhà nghiên cứu cho biết nó sử dụng kỹ thuật EtherHiding, trong đó cấu hình máy chủ điều khiển (command‑and‑control) được lưu trong smart contract trên blockchain Ethereum.
Thay vì kết nối tới một domain cố định, malware có thể đọc thông tin cấu hình từ blockchain để biết phải liên lạc với máy chủ nào.
Do blockchain có tính phi tập trung và khó bị gỡ bỏ, cách tiếp cận này khiến việc triệt phá hạ tầng malware trở nên khó khăn hơn.
So sánh với sự tiến hóa của Gremlin Stealer
REMUS không phải infostealer duy nhất đang phát triển nhanh.
Một biến thể mới của Gremlin Stealer cũng đang cho thấy xu hướng tiến hóa khác. Theo các nhà nghiên cứu Unit 42, Gremlin đã chuyển từ công cụ đánh cắp credential đơn giản thành bộ công cụ malware dạng module.
Các phiên bản mới sử dụng kỹ thuật đóng gói với instruction virtualization, biến mã gốc thành bytecode tùy chỉnh chạy trong một máy ảo riêng. Điều này khiến việc phân tích ngược (reverse engineering) khó khăn hơn nhiều.
Tóm lại:
REMUS tập trung vào mở rộng quy mô đánh cắp danh tính, session hijacking và mô hình MaaS.
Gremlin tập trung vào khả năng ẩn mình, chống phân tích và mở rộng module.
Cả hai đều phản ánh xu hướng chung: infostealer ngày càng phức tạp và khó phát hiện hơn.
Xu hướng lớn: danh tính trở thành mục tiêu chính
Sự xuất hiện của REMUS cho thấy sự thay đổi rõ ràng trong chiến lược của tội phạm mạng.
Thay vì chỉ đánh cắp mật khẩu, malware hiện nhắm tới toàn bộ môi trường xác thực của người dùng, bao gồm:
session đang hoạt động
token OAuth
credential lưu trữ
dữ liệu hạ tầng danh tính
Quy mô của vấn đề đã rất lớn. Các phân tích an ninh cho thấy khoảng 1,8 tỷ thông tin đăng nhập đã bị infostealer thu thập trong năm 2025.
Điều này có ý nghĩa gì với doanh nghiệp
Sự tiến hóa của REMUS mang lại một số hệ quả quan trọng:
Xâm nhập endpoint có thể nhanh chóng trở thành xâm nhập danh tính.
MFA không còn đủ nếu session hoặc token bị đánh cắp.
Password manager trở thành mục tiêu giá trị cao.
Do đó, các tổ chức cần tăng cường biện pháp như:
thu hồi session và token khi phát hiện sự cố
kiểm tra độ tin cậy thiết bị (device trust)
triển khai EDR/XDR trên endpoint
giám sát hành vi xác thực bất thường
Kết luận
REMUS cho thấy hệ sinh thái infostealer đang thay đổi rất nhanh. Từ một hậu duệ của Lumma, nó đã trở thành nền tảng malware‑as‑a‑service tập trung vào đánh cắp danh tính và chiếm quyền session.
Kết hợp với các tiến hóa từ những dòng malware khác như Gremlin, xu hướng hiện nay rất rõ ràng: kẻ tấn công không còn chỉ lấy mật khẩu — họ lấy luôn quyền truy cập đã được xác thực.
Đối với doanh nghiệp, điều này đồng nghĩa với việc một máy tính bị nhiễm malware có thể dẫn đến xâm nhập hàng loạt tài khoản trong vài phút hoặc vài giờ, nhanh hơn nhiều so với các mô hình tấn công truyền thống.
csoonline.comPassword managers under increasing threat as infostealers triple ...
Comments
0 comments