Ngày 15 tháng 10 năm 2023, một tác nhân đe dọa sử dụng biệt danh GhostSocks đã rao bán trên diễn đàn tội phạm mạng Nga xss[.]is, giới thiệu dịch vụ mã độc GhostSocks mới thuộc loại Malware-as-a-Service (MaaS).

Dịch vụ này được thiết kế để biến các máy tính Windows bị xâm nhập thành proxy SOCKS5 dân cư (residential SOCKS5 proxies). Điều này cho phép tội phạm mạng vượt qua các cơ chế phòng chống gian lận và kiếm tiền từ các máy chủ bị nhiễm.

GhostSocks: Dịch Vụ Mã Độc Proxy Residential Đang Bùng Nổ

Hoạt Động Cốt Lõi và Cơ Chế Phân Phối

Chủ đề rao bán ban đầu đã nêu bật chức năng cốt lõi của GhostSocks: chuyển đổi các thiết bị của người dùng cuối thành các nút proxy nằm dưới sự kiểm soát của tác nhân đe dọa.

Các bài đăng tiếp theo đã trình bày bảng điều khiển quản lý của GhostSocks, thể hiện khả năng tạo bản dựng (build creation), gán proxy và giám sát trạng thái theo thời gian thực.

Diễn đàn cũng có các bản ghi thay đổi hàng tuần từ nhà phát triển, chi tiết về các cải tiến tính năng, cùng với lời chứng thực của khách hàng ca ngợi độ tin cậy và độ trễ thấp của các proxy GhostSocks.

Tác Động và Mức Độ Phổ Biến của Mã độc GhostSocks

Từ Hoạt Động Gian Lận Đến Tấn Công Ransomware

Mối quan tâm ban đầu đối với mã độc GhostSocks trải dài từ các nhóm gian lận cấp thấp đến các nhóm ransomware tinh vi.

Vào tháng 2 năm 2025, các bản ghi chat bị rò rỉ của BlackBasta đã tiết lộ cuộc thảo luận của nhóm này về việc sử dụng GhostSocks cùng với Lumma Stealer. Mục đích là để đảm bảo quyền truy cập mạng kéo dài sau khi xâm nhập ban đầu. Tìm hiểu thêm về GhostSocks và BlackBasta.

Mặc dù lượng người dùng vẫn còn hạn chế cho đến cuối năm 2023, nhưng việc áp dụng GhostSocks đã tăng vọt vào tháng 2 năm 2024. Sự tăng trưởng này theo sau một thông báo hợp tác với Lumma Stealer, cho phép người dùng liên kết tự động cài đặt mã độc GhostSocks và chuyển các thông tin đăng nhập bị đánh cắp qua cơ sở hạ tầng proxy.

Bất chấp việc thực thi pháp luật làm gián đoạn cơ sở hạ tầng của Lumma Stealer vào cuối năm 2025, GhostSocks vẫn tiếp tục phát triển và bán hàng tích cực. Thậm chí các nhà điều hành đã di chuyển khỏi diễn đàn XSS mới. Khả năng phục hồi của dịch vụ này nhấn mạnh vai trò của nó như một yếu tố chủ chốt trong hệ sinh thái MaaS.

Kiến Trúc Kỹ Thuật và Cơ Chế Vận Hành của Mã độc GhostSocks

Mã độc GhostSocks được phân phối dưới dạng DLL 32-bit hoặc tệp thực thi độc lập. Cả hai đều được viết bằng Go và được làm xáo trộn bằng dự án mã nguồn mở garble.

Các chuỗi (strings) và biểu tượng API được mã hóa tại thời điểm tạo bản dựng và được giải mã tại thời điểm chạy thông qua một quy trình tùy chỉnh. GhostSocks thiếu chức năng duy trì (persistence), chỉ tập trung vào việc cung cấp proxy SOCKS5. Khi thực thi, một mutex được đặt tên (“start to run”) sẽ ngăn nhiều phiên bản chạy cùng lúc. Tìm hiểu thêm về cách GhostSocks sử dụng proxy SOCKS5.

Trong quá trình khởi động, GhostSocks cố gắng định vị một cấu hình động trong thư mục %TEMP% của người dùng. Nếu không tìm thấy, nó sẽ quay lại cấu hình dự phòng được mã hóa cứng trong tệp nhị phân.

Giải mã cấu hình này sẽ cung cấp danh sách các URL Command-and-Control (C2) đã bị vô hiệu hóa. Mã độc này lặp lại qua các điểm cuối này cho đến khi kết nối thành công được thiết lập. Sau đó, nó tạo ra các thông tin xác thực proxy ngẫu nhiên và đăng ký với C2 thông qua yêu cầu HTTP GET.

Một tiêu đề bổ sung x-api-key được thêm vào khi URL bản dựng thành công. Sau khi nhận được phản hồi 200 OK, GhostSocks tạo ra một kênh SOCKS5 hai chiều sử dụng các thư viện go-socks5 và yamux.

Biện Pháp Phòng Ngừa và Phát Hiện Mã độc GhostSocks

Khuyến Nghị Cá Nhân

• Tránh chạy các tệp thực thi không đáng tin cậy.
• Duy trì khả năng bảo vệ điểm cuối (endpoint protection) với các chức năng heuristic cho các trình làm xáo trộn dựa trên Go.

Phòng Thủ Cấp Tổ Chức

• Chặn các địa chỉ IP máy chủ chuyển tiếp GhostSocks đã biết.
• Giám sát lưu lượng truy cập SOCKS5 đi để phát hiện việc sử dụng proxy bất thường.
• Thực thi phân đoạn mạng nghiêm ngặt và kiểm tra các địa chỉ IP từ xa, ngay cả khi chúng có vẻ là địa chỉ dân cư, để ngăn chặn việc bỏ qua cơ chế tin cậy.
• Các dấu hiệu thỏa hiệp (Observables) và quy tắc YARA có sẵn công khai trong kho nghiên cứu của Synthient để triển khai ngay lập tức.

Phân Tích Kỹ Thuật và Đe Dọa Tiềm Ẩn

Mặc dù mã độc GhostSocks không giới thiệu các kỹ thuật đột phá, nhưng sự phổ biến của nó trong số các tác nhân đe dọa đa dạng làm nổi bật xu hướng “nạn nhân kép” đang gia tăng. Các hệ thống bị xâm nhập trở thành proxy không tự nguyện, khuếch đại các cuộc tấn công chống lại các mục tiêu bổ sung.

Với mức giá chỉ 0.50 USD mỗi thiết bị mỗi ngày, mã độc GhostSocks và các phần mềm độc hại proxy tương tự có thể sẽ vẫn là một mặt hàng hấp dẫn trên các thị trường ngầm.

Việc giám sát mạng chặt chẽ và chủ động chặn các giao thức proxy là cần thiết để kiềm chế mối đe dọa mạng này. Các tổ chức cần liên tục cập nhật các chiến lược an ninh mạng để đối phó với sự phát triển của mã độc GhostSocks và các dịch vụ MaaS khác.