Một loại mã độc TinkyWinkey mới, tinh vi đã được phát hiện, chuyên nhắm mục tiêu vào các hệ thống Windows. Mã độc này sở hữu khả năng tàng hình tiên tiến và các tính năng đánh cắp dữ liệu toàn diện.

Được quan sát lần đầu vào cuối tháng 6 năm 2025 bởi Cyfirma, mã độc TinkyWinkey đánh dấu một bước tiến đáng kể trong công nghệ keylogger. Nó kết hợp nhiều vector tấn công để duy trì sự dai dẳng và né tránh các cơ chế phát hiện, đặt ra một thách thức nghiêm trọng cho an ninh mạng.

Kiến trúc Đa thành phần của Mã độc TinkyWinkey

Mã độc TinkyWinkey hoạt động thông qua một kiến trúc hai thành phần được thiết kế để tối đa hóa cả khả năng tàng hình và hiệu quả hoạt động. Sự phân chia này giúp mã độc thực hiện các chức năng khác nhau một cách chuyên biệt, làm tăng khả năng thành công của cuộc tấn công.

Tinky Service – Duy trì Hoạt động Liên tục và Tích hợp Hệ thống

Thành phần Tinky Service chịu trách nhiệm cốt lõi trong việc quản lý khả năng duy trì hoạt động (persistence) và tích hợp sâu vào hệ thống. Nó thực hiện điều này bằng cách tự đăng ký dưới dạng một dịch vụ Windows hợp pháp.

Với cấu hình khởi động tự động, Tinky Service đảm bảo rằng mã độc TinkyWinkey được kích hoạt ngay lập tức trong mỗi chu kỳ khởi động hệ thống. Cơ chế này loại bỏ nhu cầu tương tác của người dùng, giúp mã độc duy trì hoạt động liên tục và không bị gián đoạn.

Điểm đáng chú ý là luồng làm việc của dịch vụ này sẽ cụ thể khởi chạy tệp thực thi độc hại (payload) trong phiên người dùng đang hoạt động. Điều này cho phép mã độc hoạt động với các quyền cần thiết để thực hiện mục đích của mình, đồng thời vẫn giữ trạng thái vô hình trước sự quan sát thông thường của người dùng hoặc các công cụ giám sát đơn giản.

Winkey Keylogger – Thành phần Chuyên trách Thu thập Dữ liệu

Thành phần Winkey Keylogger là bộ phận chuyên trách việc thu thập dữ liệu và giám sát các hoạt động của nạn nhân. Đây là trái tim của cơ chế đánh cắp thông tin của mã độc TinkyWinkey, nơi tất cả các tương tác bàn phím được ghi lại.

Kỹ thuật Thu thập Thông tin và Cơ chế Keylogging Nâng cao

Điều thực sự làm nổi bật mã độc TinkyWinkey so với các keylogger truyền thống là chức năng hồ sơ hệ thống toàn diện của nó. Mã độc này không chỉ đơn thuần ghi lại các phím gõ mà còn thu thập có hệ thống thông tin chi tiết về môi trường hoạt động của nạn nhân.

Thu thập Thông tin Hệ thống Chi tiết

Quá trình thu thập thông tin bao gồm nhiều loại dữ liệu quan trọng về hệ thống:

• Thông số kỹ thuật CPU: Mã độc thu thập các chi tiết cụ thể về bộ xử lý trung tâm, bao gồm kiểu, tốc độ và số lõi.
• Dung lượng bộ nhớ: Thông tin về tổng dung lượng RAM khả dụng trên hệ thống, cung cấp cái nhìn về khả năng của máy.
• Chi tiết phiên bản hệ điều hành: Bao gồm phiên bản Windows (ví dụ: Windows 10, Windows 11), số bản dựng (build number) và các thông tin bản vá liên quan.
• Dữ liệu cấu hình mạng: Thông tin về các giao diện mạng, địa chỉ IP, cài đặt proxy và các chi tiết cấu hình mạng khác.

Sau khi thu thập, mã độc TinkyWinkey điền các chi tiết này vào cấu trúc RTL_OSVERSIONINFOW của Windows, bao gồm các thông số như phiên bản chính, phiên bản phụ và số bản dựng của hệ điều hành. Giai đoạn trinh sát này cực kỳ quan trọng, cho phép kẻ tấn công xây dựng một bức tranh toàn diện về môi trường mục tiêu trước khi tiến hành các bước tấn công tiếp theo, như thu thập thông tin đăng nhập.

Ngoài ra, hàm get_ram_info() được sử dụng để thu thập chi tiết về bộ nhớ vật lý của máy nạn nhân. Hàm này tận dụng API Windows GlobalMemoryStatusEx() để truy vấn tổng tài nguyên hệ thống, cung cấp thông tin quý giá về cấu hình phần cứng.

Cơ chế Keylogging Tiên tiến của Mã độc TinkyWinkey

Cơ chế keylogging của loại mã độc keylogger này vô cùng tinh vi, sử dụng các hook bàn phím cấp thấp để chặn tất cả các sự kiện gõ phím trên toàn hệ thống một cách hiệu quả.

Điểm nổi bật là mã độc TinkyWinkey không chỉ giới hạn ở việc ghi lại đầu vào chữ và số tiêu chuẩn. Nó có khả năng xử lý chính xác các phím đặc biệt (như Shift, Ctrl, Alt), phím chức năng (F1-F12), điều khiển đa phương tiện và đặc biệt là các ký tự Unicode trên nhiều bố cục ngôn ngữ khác nhau.

Để đảm bảo độ chính xác tối đa, mã độc này tự động theo dõi và thích ứng với các thay đổi bố cục bàn phím. Điều này rất quan trọng khi người dùng chuyển đổi giữa các ngôn ngữ hoặc phương thức nhập liệu khác nhau, đảm bảo không bỏ sót bất kỳ dữ liệu nào.

Cơ chế Duy trì và Né tránh Phát hiện của TinkyWinkey

Mã độc TinkyWinkey thể hiện sự tinh vi đáng kể không chỉ trong việc thu thập dữ liệu mà còn trong các kỹ thuật duy trì hoạt động và né tránh phát hiện của nó.

Kỹ thuật Tiêm DLL (DLL Injection) Nâng cao

Một trong những kỹ thuật chủ chốt mà mã độc sử dụng là tiêm DLL (Dynamic Link Library) để nhúng payload của nó vào các tiến trình hệ thống đáng tin cậy. Đặc biệt, nó thường nhắm mục tiêu vào explorer.exe, một tiến trình hợp pháp và quan trọng của Windows, nhằm hòa lẫn vào hoạt động hệ thống bình thường và tránh bị phát hiện.

Kỹ thuật tiêm này liên quan đến một chuỗi các bước chính xác: đầu tiên là cấp phát bộ nhớ trong tiến trình mục tiêu, sau đó là ghi mã độc vào vùng bộ nhớ đó, và cuối cùng là tạo một luồng từ xa (remote thread) buộc tiến trình chủ tải và thực thi DLL độc hại. Điều này cho phép mã độc hoạt động trong ngữ cảnh của một tiến trình hợp pháp.

Duy trì Hoạt động Liên tục và Giám sát Cửa sổ Tập trung

Để duy trì hoạt động liên tục và hiệu quả, mã độc TinkyWinkey sử dụng một vòng lặp thông điệp chuyên dụng. Vòng lặp này không chỉ xử lý các sự kiện bàn phím mà còn giám sát các thay đổi tiêu điểm của cửa sổ.

Bằng cách theo dõi các chuyển đổi cửa sổ tiền cảnh (foreground window), mã độc có thể tương quan các phím được ghi lại với các ứng dụng cụ thể mà người dùng đang tương tác. Điều này cho phép kẻ tấn công xác định chính xác khi nào nạn nhân đang truy cập các cổng ngân hàng trực tuyến, ứng dụng email, hoặc các nền tảng nhạy cảm khác, từ đó tăng giá trị của dữ liệu bị đánh cắp.

Lưu trữ và Đánh cắp Dữ liệu Tinh vi

Tất cả thông tin được thu thập bởi mã độc TinkyWinkey được lưu trữ có hệ thống trong các tệp nhật ký được mã hóa UTF-8. Các tệp này thường được đặt trong thư mục tạm thời của hệ thống, một vị trí mà người dùng ít khi kiểm tra.

Cơ chế ghi nhật ký sử dụng các thao tác tệp ở chế độ ghi tiếp (append-mode), đảm bảo rằng không có dữ liệu nào bị mất trong suốt các khoảng thời gian giám sát kéo dài. Mỗi sự kiện đã ghi đều đi kèm với các dấu thời gian chi tiết, cung cấp cho kẻ tấn công một dòng thời gian rõ ràng về các mẫu hoạt động của người dùng.

Khả năng thu thập siêu dữ liệu hệ thống toàn diện cùng với dữ liệu gõ phím làm tăng đáng kể giá trị của thông tin bị đánh cắp. Kẻ tấn công có thể tận dụng các thông số kỹ thuật phần cứng, chi tiết mạng và cấu hình phần mềm để lập kế hoạch các giai đoạn tấn công tiếp theo hoặc xác định các mục tiêu có giá trị cao hơn trong các mạng đã bị xâm nhập.

Thông tin về việc phát hiện ban đầu của mã độc TinkyWinkey, một mối đe dọa mới, có thể được tìm thấy tại Cyfirma Research.

Hậu quả và Khuyến nghị Phòng thủ Toàn diện

Sự xuất hiện của mã độc TinkyWinkey thể hiện một sự phát triển đáng lo ngại trong các mối đe dọa điểm cuối. Điều này đặc biệt đúng đối với các tổ chức vẫn còn phụ thuộc chủ yếu vào các giải pháp chống vi-rút truyền thống, vốn có thể không đủ sức chống lại các kỹ thuật tân tiến.

Mô hình duy trì hoạt động dựa trên dịch vụ và khả năng tiêm tiến trình của loại mã độc này cho phép nó né tránh nhiều cơ chế phát hiện thông thường, làm cho việc đối phó trở nên phức tạp hơn.

Các Biện pháp Phòng thủ Thiết yếu Chống lại Mã độc TinkyWinkey

Để đối phó hiệu quả với các mối đe dọa như mã độc TinkyWinkey, các nhóm bảo mật cần ưu tiên áp dụng các phương pháp giám sát hành vi nâng cao. Những phương pháp này bao gồm việc xác định:

• Giám sát hành vi bất thường: Phát hiện các đăng ký dịch vụ Windows bất thường, các mẫu tải DLL không mong muốn vào các tiến trình hợp pháp.
• Hoạt động tệp dai dẳng: Theo dõi các hoạt động tệp liên tục trong các thư mục tạm thời, nơi mã độc thường lưu trữ nhật ký.
• Giám sát mạng chặt chẽ: Tìm kiếm các giao tiếp gửi đi đáng ngờ, đặc biệt là các kết nối đến các máy chủ lệnh và kiểm soát (C2) không xác định.
• Giải pháp Phát hiện và Phản hồi Điểm cuối (EDR): Triển khai các giải pháp EDR có khả năng xác định việc cài đặt hook cấp thấp và các hành vi độc hại khác ở cấp độ hệ thống.

Đây là những biện pháp phòng thủ thiết yếu để xây dựng một lớp bảo vệ mạnh mẽ hơn.

Chiến lược An ninh Mạng Toàn diện và Phòng ngừa

Sự xuất hiện của mã độc TinkyWinkey một lần nữa nhấn mạnh sự tinh vi liên tục của các mối đe dọa phần mềm độc hại hiện đại. Do đó, các tổ chức phải áp dụng các chiến lược an ninh mạng toàn diện, tích hợp nhiều lớp phòng thủ.

Các chiến lược này cần kết hợp phát hiện dựa trên chữ ký truyền thống với phân tích hành vi nâng cao, đặc biệt là khả năng tích hợp thông tin tình báo mối đe dọa (threat intelligence) để chủ động nhận diện và đối phó. Đào tạo nâng cao nhận thức bảo mật thường xuyên cho người dùng, tăng cường bảo mật điểm cuối (endpoint hardening), và giám sát chủ động vẫn là những thành phần không thể thiếu để xây dựng một hệ thống phòng thủ hiệu quả chống lại các mối đe dọa dai dẳng tiên tiến như mã độc TinkyWinkey nhắm vào môi trường Windows.