Các game thủ Windows hiện đang đối mặt với một mối đe dọa mới từ một framework mã độc tinh vi có tên Winos4.0, được ngụy trang dưới dạng các công cụ cài đặt và tối ưu hóa game. Winos4.0 lần đầu tiên được các nhà nghiên cứu tại Fortinet, một công ty an ninh mạng hàng đầu, phát hiện và cảnh báo.
Winos4.0 hoạt động như thế nào?
Tội phạm mạng tấn công máy tính hiển thị cửa sổ đăng nhập và cảnh báo, minh họa nguy cơ mã độc Winos4.0
Bài đăng trên blog Fortiguard Labs của Fortinet đã mô tả chi tiết phương thức tấn công và khả năng của mã độc Winos4.0. Mã độc này được phân tán khi người dùng Windows cài đặt một ứng dụng liên quan đến game bị nhiễm độc. Các ứng dụng độc hại này thường xuất hiện dưới dạng công cụ cài đặt game, phần mềm tăng tốc hoặc tối ưu hiệu suất chơi game. Game thủ thường có xu hướng sử dụng những công cụ này với mong muốn cải thiện trải nghiệm chơi game trực tuyến.
Tuy nhiên, ngay sau khi ứng dụng giả mạo được cài đặt, Winos4.0 sẽ tải về một tệp .bmp. Tệp này sau đó sẽ giải nén một thư viện liên kết động (DLL) của Windows, lây nhiễm vào hệ thống thông qua kỹ thuật shell-code injection.
Fortinet nhận định rằng Winos4.0 là một framework cực kỳ mạnh mẽ, có khả năng hỗ trợ nhiều chức năng và dễ dàng kiểm soát các hệ thống bị xâm nhập. Toàn bộ chuỗi tấn công của mã độc này liên quan đến nhiều dữ liệu được mã hóa và nhiều giao tiếp C2 (Command and Control) để hoàn tất quá trình tiêm nhiễm. Người dùng cần hết sức cảnh giác với nguồn gốc của bất kỳ ứng dụng mới nào và chỉ nên tải phần mềm chơi game từ các nguồn đáng tin cậy.
Điều đáng lo ngại của Winos4.0 là khả năng liên lạc với máy chủ bên ngoài, cho phép kẻ tấn công thực hiện các cuộc tấn công từ xa. Ngoài ra, mã độc này còn có thể thu thập thông tin hệ thống, giám sát clipboard, chụp màn hình và kiểm tra hoạt động ví tiền điện tử. Theo Bleeping Computer, Winos4.0 thậm chí còn có khả năng phát hiện và né tránh các phần mềm diệt virus phổ biến từ Kaspersky, Avast, Bitdefender, Malwarebytes và McAfee.
Nguy cơ tiềm ẩn cho các tổ chức giáo dục
Kính lúp kiểm tra màn hình máy tính phát hiện mối đe dọa phần mềm độc hại, nhấn mạnh tầm quan trọng của việc phòng chống Winos4.0
Dựa trên các mô tả tệp trong mã nguồn của mã độc, Fortiguard Labs đã chỉ ra rằng Winos4.0 có thể cuối cùng đang cố gắng thao túng các hệ thống trong lĩnh vực giáo dục. Dấu hiệu này được chứng minh bằng một mô tả tệp có tiêu đề “Campus Administration” (Quản trị khuôn viên). Fortiguard Labs đã thực hiện phân tích mã độc chi tiết trong bài đăng blog gốc của họ.
Game thủ Windows có nên lo lắng?
Những game thủ Windows gần đây đã tải xuống các ứng dụng tăng tốc hoặc tối ưu hóa game từ các nguồn không rõ ràng có thể đang vô tình chứa chấp mã độc Winos4.0. Vì các loại mã độc hiện đại thường tinh vi và khó bị phát hiện hơn so với các loại mã độc cũ, việc phát hiện Winos4.0 đặc biệt khó khăn. May mắn thay, blog của Fortinet đã cung cấp các Chỉ số Đánh dấu Thỏa hiệp (IOCs) để người dùng biết cách nhận diện.
Tuy nhiên, nếu hệ thống đã bị lây nhiễm, một phương pháp gỡ bỏ từng bước chi tiết vẫn chưa được công bố rộng rãi. Không ngạc nhiên, phần mềm diệt virus của Fortinet đã triển khai khả năng bảo vệ người dùng khỏi Winos4.0. Để bảo vệ máy tính của mình khỏi các mối đe dọa tiềm ẩn như Winos4.0, hãy luôn tải xuống phần mềm từ các nguồn chính thức và đáng tin cậy.
Hãy chia sẻ ý kiến của bạn về mối đe dọa mã độc Winos4.0 và các biện pháp phòng ngừa mà bạn đang áp dụng!
