Game thủ sử dụng Windows hiện đang là mục tiêu của một framework mã độc tinh vi được ngụy trang dưới dạng các công cụ cài đặt và tối ưu trò chơi. Mối đe dọa này được gọi là Winos4.0, lần đầu tiên được phát hiện và cảnh báo bởi các nhà nghiên cứu tại Fortinet, một công ty an ninh mạng hàng đầu thế giới. Đây là một lời nhắc nhở quan trọng về sự nguy hiểm tiềm ẩn khi tải phần mềm không rõ nguồn gốc.
Winos4.0 Hoạt Động Như Thế Nào?
Hình ảnh hacker ngồi trước laptop với cửa sổ đăng nhập và các cảnh báo bảo mật, minh họa nguy cơ mã độc Winos4.0 tấn công máy tính.
Theo bài đăng trên blog Fortiguard Labs của Fortinet, phương thức tấn công và khả năng của mã độc này đã được mô tả chi tiết. Winos4.0 lây lan khi người dùng Windows không nghi ngờ cài đặt một ứng dụng liên quan đến game bị nhiễm độc. Các ứng dụng độc hại này thường xuất hiện dưới vỏ bọc của các công cụ cài đặt, tăng tốc hoặc tối ưu hiệu suất chơi game. Game thủ thường tìm kiếm những công cụ này với mong muốn cải thiện trải nghiệm và hiệu suất trực tuyến.
Tuy nhiên, ngay sau khi ứng dụng độc hại được cài đặt, Winos4.0 sẽ tải về một tập tin .bmp đặc biệt. Tập tin này không phải là hình ảnh thông thường mà chứa một thư viện liên kết động (DLL) của Windows. DLL này sau đó sẽ tiêm nhiễm vào hệ thống bằng kỹ thuật shell-code injection, cho phép mã độc kiểm soát máy tính.
Fortinet mô tả Winos4.0 là “một framework mạnh mẽ có khả năng hỗ trợ nhiều chức năng và dễ dàng kiểm soát các hệ thống bị xâm nhập.” Chuỗi tấn công của mã độc này rất phức tạp, liên quan đến nhiều dữ liệu được mã hóa và nhiều giao tiếp với máy chủ chỉ huy và kiểm soát (C2) để hoàn tất quá trình tiêm nhiễm. Người dùng cần đặc biệt cảnh giác với nguồn gốc của bất kỳ ứng dụng mới nào và chỉ nên tải phần mềm game từ các nguồn đáng tin cậy.
Điểm đáng lo ngại nhất của Winos4.0 là khả năng liên lạc với các máy chủ bên ngoài, cho phép kẻ tấn công thực hiện các cuộc tấn công từ xa. Ngoài ra, mã độc này có thể:
- Thu thập thông tin hệ thống chi tiết.
- Giám sát hoạt động của clipboard (bộ nhớ tạm).
- Chụp ảnh màn hình máy tính của bạn.
- Kiểm tra và theo dõi các hoạt động liên quan đến ví tiền điện tử (crypto-wallet).
Đặc biệt, theo Bleeping Computer, Winos4.0 còn có khả năng phát hiện và né tránh các phần mềm diệt virus phổ biến từ Kaspersky, Avast, Bitdefender, Malwarebytes và McAfee.
Các Tổ Chức Giáo Dục Có Thể Nằm Trong Tầm Ngắm
Kính lúp phóng to màn hình máy tính, biểu tượng mã độc, thể hiện việc phát hiện mối đe dọa an ninh mạng và rủi ro tấn công mã độc đối với tổ chức giáo dục.
Dựa trên các mô tả tập tin trong mã nguồn của mã độc, Fortiguard Labs nhận định rằng Winos4.0 có thể đang cố gắng thao túng các hệ thống trong lĩnh vực giáo dục. Dấu hiệu này được chứng minh bằng một mô tả tập tin có tiêu đề “Campus Administration” (Quản trị khuôn viên trường học). Fortiguard Labs đã thực hiện phân tích chi tiết mã độc này và công bố trong bài viết gốc của họ. Điều này cho thấy tầm ảnh hưởng của Winos4.0 có thể vượt ra ngoài đối tượng game thủ cá nhân.
Bạn Có Nên Lo Lắng?
Những game thủ Windows gần đây đã tải các ứng dụng tăng tốc hoặc tối ưu game từ các nguồn không rõ ràng, có nguy cơ cao đang vô tình chứa chấp Winos4.0 trên hệ thống của mình. Việc phát hiện mã độc này đặc biệt khó khăn vì mã độc hiện đại thường tinh vi và tàng hình hơn các loại mã độc cũ.
Tuy nhiên, nếu bạn đã bị nhiễm, một phương pháp loại bỏ từng bước cụ thể vẫn chưa được lưu hành rộng rãi. Mặc dù vậy, không ngạc nhiên khi phần mềm diệt virus của Fortinet đã tích hợp khả năng bảo vệ người dùng khỏi Winos4.0. Điều quan trọng nhất là luôn cảnh giác và chỉ tải phần mềm từ các nguồn chính thức, đáng tin cậy để bảo vệ thiết bị của bạn khỏi những mối đe dọa như Winos4.0.
