Hiện tại, các game thủ Windows đang trở thành mục tiêu của một framework mã độc tinh vi ngụy trang dưới dạng công cụ cài đặt và tối ưu hóa game. Mối đe dọa này được gọi là Winos4.0, được các nhà nghiên cứu tại Fortinet, một công ty an ninh mạng nổi tiếng, phát hiện lần đầu tiên.
Winos4.0 Hoạt Động Như Thế Nào?
Bài viết trên blog Fortiguard Labs của Fortinet đã mô tả chi tiết phương pháp tấn công và khả năng của mã độc này. Winos4.0 được phân tán khi người dùng Windows cài đặt một ứng dụng liên quan đến game bị nhiễm độc mà không hề hay biết. Những ứng dụng này thường mang hình thức của các công cụ cài đặt, tăng tốc game hoặc công cụ tối ưu hiệu suất chơi game. Game thủ mong muốn cải thiện trải nghiệm và hiệu suất trực tuyến có thể dễ dàng sử dụng các công cụ này để giành lợi thế.
Hình ảnh mã độc tấn công máy tính game thủ thông qua các công cụ giả mạo, biểu tượng nguy hiểm trên màn hình laptop.
Sau khi ứng dụng độc hại được cài đặt, Winos4.0 sẽ tải về một tệp tin định dạng .bmp. Tệp tin này tiếp tục giải nén một thư viện liên kết động (DLL) của Windows, sau đó lây nhiễm vào hệ thống bằng kỹ thuật shell-code injection. Fortinet nhận định rằng “Winos4.0 là một framework mạnh mẽ… có thể hỗ trợ nhiều chức năng và dễ dàng kiểm soát các hệ thống bị xâm nhập. Toàn bộ chuỗi tấn công bao gồm nhiều dữ liệu được mã hóa và rất nhiều giao tiếp với máy chủ C2 (Command and Control) để hoàn tất việc tiêm mã độc. Người dùng nên cảnh giác với nguồn gốc của bất kỳ ứng dụng mới nào và chỉ tải phần mềm game từ các nguồn đáng tin cậy.”
Điều khiến Winos4.0 đặc biệt đáng sợ là khả năng giao tiếp với các máy chủ bên ngoài, cho phép kẻ tấn công thực hiện các cuộc tấn công từ xa. Mã độc này cũng có thể thu thập thông tin hệ thống, theo dõi clipboard, chụp màn hình và kiểm tra hoạt động ví tiền điện tử của người dùng. Theo Bleeping Computer, Winos4.0 còn có khả năng phát hiện các phần mềm diệt virus và mã độc phổ biến từ Kaspersky, Avast, Bitdefender, Malwarebytes và McAfee, khiến việc phát hiện và gỡ bỏ trở nên khó khăn hơn.
Các Tổ Chức Giáo Dục Có Thể Nằm Trong Vùng Nguy Hiểm
Kính lúp phóng to biểu tượng nguy hiểm, đại diện cho việc phát hiện và phân tích mã độc Winos4.0.
Dựa trên mô tả tệp trong mã của malware, Fortiguard Labs đã chỉ ra rằng mã độc này có thể đang nhắm đến việc thao túng các hệ thống trong lĩnh vực giáo dục. Dấu hiệu này được thể hiện qua mô tả tệp có tiêu đề “Campus Administration” (Quản lý Khuôn viên). Fortiguard Labs đã thực hiện phân tích chi tiết mã của mã độc như một phần của bài đăng blog gốc.
Bạn Có Nên Lo Lắng Về Winos4.0?
Các game thủ Windows gần đây đã tải xuống các ứng dụng tăng tốc hoặc tối ưu hóa game từ các nguồn không rõ ràng có thể đang vô tình chứa Winos4.0 trong hệ thống của mình. Vì các loại mã độc hiện đại tinh vi và khó bị phát hiện hơn so với các loại cũ, việc nhận biết Winos4.0 đặc biệt phức tạp. May mắn thay, blog của Fortinet đã cung cấp chi tiết về các Dấu hiệu Thỏa hiệp (Indicators of Compromise – IOCs) để người dùng biết cách nhận diện.
Tuy nhiên, nếu bạn đã bị lây nhiễm, một phương pháp gỡ bỏ từng bước vẫn chưa được công bố rộng rãi. Không ngạc nhiên, phần mềm diệt virus của Fortinet đã tích hợp khả năng bảo vệ người dùng khỏi Winos4.0.
Tài liệu tham khảo:
- Fortinet Blog: Threat Campaign Spreads Winos4 Through Game Application
- Bleeping Computer: Hackers Increasingly Use Winos4.0 Post-Exploitation Kit in Attacks
