Gần đây, các chuyên gia an ninh mạng phát hiện phiên bản mới của một họ mã độc điều khiển từ xa (RAT) có tên XWorm V6 đang được triển khai. Khác với những tin tức mã độc thông thường, XWorm V6 nổi bật vì khả năng “ngụy trang” tinh vi, nó chui vào các chương trình Windows tin cậy để hoạt động, khó bị phần mềm diệt virus phát hiện. Điều này khiến nguy cơ mất dữ liệu, bị theo dõi hay bị tống tiền tăng lên, không chỉ với cá nhân mà cả doanh nghiệp.
XWorm V6 là một bộ công cụ tấn công đa năng do kẻ xấu điều khiển từ xa. Kịch bản phổ biến bắt đầu bằng một email hoặc tệp độc hại. Tệp JavaScript hoặc một đoạn PowerShell được kích hoạt, tải về một thư viện (.dll) chứa mã độc. Thay vì chạy dưới tên mã độc, XWorm “tiêm” mã vào tiến trình hợp pháp của Windows (ví dụ RegSvcs.exe) để chạy im lặng. Vì vậy, máy tính trông vẫn “bình thường” nhưng thực chất đã bị kiểm soát.
XWorm hoạt động theo kiểu mô-đun: Sau khi vào được máy, nó kết nối tới máy chủ điều khiển và tải các “plugin” theo nhu cầu, có thể là công cụ lấy mật khẩu trình duyệt, điều khiển màn hình từ xa, mã hóa tống tiền hoặc công cụ quản lý tệp. Một điểm đáng lo là mã độc lưu module và cấu hình vào sổ đăng ký (registry) thay vì file bình thường và có nhiều cách để tự cài lại sau khi bị xóa, thậm chí ghi vào vùng khôi phục của Windows để tái cài sau khi người dùng reset máy.
Vì kỹ thuật ẩn mình và khả năng tự phục hồi, XWorm V6 là mối nguy lớn. Cá nhân có thể mất tài khoản, ảnh, tài liệu; máy tính có thể trở thành công cụ tấn công tiếp theo. Doanh nghiệp, tổ chức có thể bị mất dữ liệu nhạy cảm hoặc bị tống tiền hàng loạt. Ngoài ra, bản mã có thể bị sao chép, sửa đổi và lan rộng nhanh chóng trong cộng đồng tội phạm mạng, khiến phạm vi ảnh hưởng rất rộng.
Vấn đề cần lưu ý:
XWorm V6 là một bộ công cụ tấn công đa năng do kẻ xấu điều khiển từ xa. Kịch bản phổ biến bắt đầu bằng một email hoặc tệp độc hại. Tệp JavaScript hoặc một đoạn PowerShell được kích hoạt, tải về một thư viện (.dll) chứa mã độc. Thay vì chạy dưới tên mã độc, XWorm “tiêm” mã vào tiến trình hợp pháp của Windows (ví dụ RegSvcs.exe) để chạy im lặng. Vì vậy, máy tính trông vẫn “bình thường” nhưng thực chất đã bị kiểm soát.
XWorm hoạt động theo kiểu mô-đun: Sau khi vào được máy, nó kết nối tới máy chủ điều khiển và tải các “plugin” theo nhu cầu, có thể là công cụ lấy mật khẩu trình duyệt, điều khiển màn hình từ xa, mã hóa tống tiền hoặc công cụ quản lý tệp. Một điểm đáng lo là mã độc lưu module và cấu hình vào sổ đăng ký (registry) thay vì file bình thường và có nhiều cách để tự cài lại sau khi bị xóa, thậm chí ghi vào vùng khôi phục của Windows để tái cài sau khi người dùng reset máy.
Vì kỹ thuật ẩn mình và khả năng tự phục hồi, XWorm V6 là mối nguy lớn. Cá nhân có thể mất tài khoản, ảnh, tài liệu; máy tính có thể trở thành công cụ tấn công tiếp theo. Doanh nghiệp, tổ chức có thể bị mất dữ liệu nhạy cảm hoặc bị tống tiền hàng loạt. Ngoài ra, bản mã có thể bị sao chép, sửa đổi và lan rộng nhanh chóng trong cộng đồng tội phạm mạng, khiến phạm vi ảnh hưởng rất rộng.
Vấn đề cần lưu ý:
- Phần mềm diệt virus truyền thống khó phát hiện hành vi “tiêm” vào tiến trình hợp pháp.
- Tệp JavaScript/PowerShell kèm email là phương thức lây lan phổ biến (không phải lúc nào cũng hiển thị dấu hiệu rõ ràng).
- Việc khôi phục cài đặt gốc không luôn chắc chắn xóa được mã độc nếu nó đã ghi vào vùng khôi phục.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
