Một mối đe dọa mạng nguy hiểm mới đã xuất hiện, nhắm mục tiêu vào người dùng Windows thông qua các dịch vụ chia sẻ tệp trực tuyến. Đây là một biến thể của mã độc xRAT, còn được biết đến với tên QuasarRAT, đang được phân phối dưới dạng các trò chơi người lớn giả mạo.

Trung tâm Tình báo An ninh Ahnlab gần đây đã xác định biến thể mã độc xRAT này, được thiết kế để lừa người dùng tải xuống các tệp tin độc hại. Remote access trojan (RAT) này đặt ra một mối lo ngại an ninh đáng kể cho các hệ thống Windows, kết hợp các kỹ thuật lẩn tránh tinh vi với các chiến thuật tấn công phi kỹ thuật (social engineering).

Phân Phối Mã Độc Qua Dịch Vụ Chia Sẻ Tệp

Các tác nhân đe dọa đang lợi dụng sự phổ biến của các dịch vụ chia sẻ tệp để phát tán mã độc xRAT. Các nền tảng này, thường được sử dụng để phân phối nội dung, trở thành kênh hiệu quả để kẻ tấn công tiếp cận người dùng.

Chúng tải lên các tệp nén được ngụy trang thành các trò chơi hoặc nội dung giải trí khác. Người dùng nhìn thấy các liên kết tải xuống dường như hợp pháp, nhưng thực chất lại nhận về các tệp tin độc hại được ẩn giấu sau những tên tệp và mô tả hấp dẫn.

Chiến lược lừa đảo này đã chứng minh hiệu quả cao, cho phép kẻ tấn công xâm nhập hệ thống mà không gây nghi ngờ trong giai đoạn tải xuống ban đầu.

Chiến Dịch Phân Phối Điều Phối

Các nhà phân tích của ASEC đã xác định rằng nhiều đợt phân phối tương tự đã xảy ra thông qua cùng một tác nhân đe dọa. Điều này cho thấy đây là một chiến dịch có tổ chức và phối hợp, nhằm tối đa hóa số lượng nạn nhân.

Mặc dù nhiều bài đăng đã bị xóa vào thời điểm phân tích, các nhà điều tra đã xác nhận rằng nhiều trò chơi khác nhau chia sẻ cùng một tải trọng mã độc.

Chuỗi Lây Nhiễm Mã Độc xRAT

Cấu trúc kỹ thuật của cuộc tấn công này cho thấy sự tinh vi trong kỹ thuật.

Giai Đoạn Ban Đầu: Tải Xuống và Giải Nén

Khi người dùng tải xuống mã độc xRAT, họ sẽ nhận được một tệp ZIP chứa nhiều thành phần, bao gồm:

• Game.exe
• Data1.Pak
• Các tệp hỗ trợ khác

Khi được thực thi, Game.exe hoạt động như một trình khởi chạy (launcher) chứ không phải là một ứng dụng trò chơi thực sự.

Phân Phối và Kích Hoạt Payload

Khi người dùng nhấp vào nút “play”, mã độc sẽ thực hiện một chuỗi các hành động sau:

1. Sao chép Data1.Pak vào thư mục Locales_module dưới dạng tệp Play.exe.
2. Đồng thời triển khai Data2.Pak và Data3.Pak vào đường dẫn thư mục Windows Explorer, lần lượt dưới dạng GoogleUpdate.exe và WinUpdate.db.

Chuỗi lây nhiễm trở nên phức tạp hơn khi GoogleUpdate.exe được thực thi. Nó tìm kiếm tệp WinUpdate.db trong cùng thư mục.

Sau đó, nó áp dụng giải mã bằng thuật toán AES để trích xuất shellcode cuối cùng từ WinUpdate.db.

Tiêm Mã Độc và Đặc Quyền Cao

Shellcode được giải mã này sau đó được tiêm vào explorer.exe, một tiến trình quan trọng của Windows. Điều này cho phép mã độc xRAT hoạt động với các đặc quyền nâng cao, vượt qua nhiều lớp bảo vệ tiêu chuẩn.

Kỹ Thuật Lẩn Tránh Phát Hiện

Một điểm đáng chú ý là mã độc xRAT thực hiện kỹ thuật vá lỗi (patch) hàm EtwEventWrite trong explorer.exe bằng một lệnh trả về cụ thể (specific return instruction). Kỹ thuật này có tác dụng vô hiệu hóa việc ghi nhật ký Event Tracing for Windows (ETW).

Đây là một kỹ thuật lẩn tránh tinh vi nhằm cản trở các công cụ bảo mật và quản trị viên phát hiện hoạt động độc hại thông qua nhật ký sự kiện tiêu chuẩn. Việc tắt ETW khiến cho việc theo dõi hành vi của mã độc trở nên khó khăn hơn.

Payload Cuối Cùng của xRAT

Mã được tiêm cuối cùng chính là tải trọng thực sự của mã độc xRAT. Payload này thực hiện các hoạt động nguy hiểm trên hệ thống bị xâm nhập, bao gồm:

• Thu thập thông tin hệ thống chi tiết.
• Giám sát bàn phím (keylogging) để đánh cắp thông tin nhạy cảm.
• Chuyển tệp không được phép (unauthorized file transfers).
• Kiểm soát từ xa hệ thống.

Chỉ Dẫn Về Mã Độc (IOCs)

Để hỗ trợ phát hiện và ứng phó, các chỉ dẫn về mã độc liên quan đến chiến dịch này bao gồm:

• Tên tệp độc hại:
  • Game.exe
  • Data1.Pak
  • Play.exe
  • GoogleUpdate.exe
  • WinUpdate.db
• Đường dẫn tệp:
  • Thư mục Locales_module (cho Play.exe)
  • Thư mục Windows Explorer (cho GoogleUpdate.exe và WinUpdate.db)

Biện Pháp Phòng Ngừa và Bảo Vệ Hệ Thống

Để phòng tránh các cuộc tấn công của mã độc xRAT và các remote access trojan tương tự, các chuyên gia bảo mật khuyến nghị:

1. Chỉ tải chương trình từ các nguồn chính thức: Luôn ưu tiên tải xuống phần mềm từ trang web của nhà phát triển hoặc các cửa hàng ứng dụng đáng tin cậy.

2. Cực kỳ thận trọng khi truy cập các trang web chia sẻ tệp: Các nền tảng này thường là nơi phân tán mã độc. Luôn kiểm tra kỹ nguồn gốc và tính hợp lệ của tệp trước khi tải xuống và thực thi.

3. Sử dụng phần mềm diệt virus và Endpoint Detection and Response (EDR): Đảm bảo hệ thống được trang bị các giải pháp bảo mật cập nhật để phát hiện và ngăn chặn các mối đe dọa như mã độc xRAT.

4. Cập nhật hệ điều hành và phần mềm thường xuyên: Các bản vá bảo mật giúp khắc phục các lỗ hổng có thể bị khai thác.

5. Nâng cao nhận thức về an ninh mạng: Người dùng cần được đào tạo về các kỹ thuật lừa đảo (phishing, social engineering) để nhận biết và tránh xa các nội dung độc hại.

Thực hiện các biện pháp này sẽ tăng cường an ninh mạng tổng thể và giảm thiểu rủi ro bị xâm nhập bởi các loại mã độc như xRAT.