Game thủ Windows hiện đang là mục tiêu của một khung phần mềm độc hại mới, được ngụy trang dưới dạng các công cụ cài đặt và tối ưu hóa trò chơi. Phần mềm này có tên là Winos4.0, lần đầu tiên được các nhà nghiên cứu tại Fortinet, một công ty an ninh mạng nổi tiếng, phát hiện.
Winos4.0 Hoạt Động Như Thế Nào?
Fortiguard Labs của Fortinet đã công bố chi tiết về phương thức tấn công và các khả năng của phần mềm độc hại Winos4.0 trong bài đăng blog của họ. Winos4.0 được phát tán khi người dùng Windows cài đặt một ứng dụng liên quan đến trò chơi đã bị nhiễm độc. Những ứng dụng này thường được ngụy trang thành các công cụ cài đặt, bộ tăng tốc hiệu suất hoặc công cụ tối ưu hóa trò chơi. Game thủ với mong muốn cải thiện hiệu suất trực tuyến thường sẽ sử dụng các công cụ này để giành lợi thế.
Hình ảnh một hacker đang thực hiện tấn công mạng trên máy tính, biểu thị nguy cơ từ phần mềm độc hại Winos4.0
Tuy nhiên, một khi ứng dụng độc hại được cài đặt, Winos4.0 sẽ tải xuống một tệp tin .bmp. Tệp tin này sau đó trích xuất một thư viện liên kết động (DLL) của Windows, gây nhiễm hệ thống bằng cách tiêm shell-code.
Fortinet cho biết: “Winos4.0 là một khung mạnh mẽ… có thể hỗ trợ nhiều chức năng và dễ dàng kiểm soát các hệ thống bị xâm nhập. Toàn bộ chuỗi tấn công liên quan đến nhiều dữ liệu được mã hóa và rất nhiều giao tiếp C2 để hoàn tất việc tiêm độc. Người dùng nên cẩn trọng với nguồn gốc của bất kỳ ứng dụng mới nào và chỉ nên tải xuống phần mềm [game] từ các nguồn uy tín.”
Điều khiến Winos4.0 đặc biệt đáng sợ là khả năng giao tiếp với các máy chủ bên ngoài, cho phép thực hiện các cuộc tấn công từ xa. Nó cũng có thể thu thập thông tin hệ thống, giám sát bộ nhớ đệm (clipboard), chụp màn hình và kiểm tra hoạt động ví tiền mã hóa. Theo Bleeping Computer, Winos4.0 có khả năng phát hiện các phần mềm độc hại và phần mềm diệt virus phổ biến từ Kaspersky, Avast, Bitdefender, Malwarebytes và McAfee.
Các Tổ Chức Giáo Dục Cũng Có Thể Gặp Nguy Hiểm
Dựa trên các mô tả tệp trong mã của phần mềm độc hại, Fortiguard Labs đã nhận định rằng Winos4.0 cuối cùng có thể nhắm mục tiêu thao túng các hệ thống trong lĩnh vực giáo dục. Dấu hiệu này được chứng minh qua một mô tả tệp có tiêu đề “Campus Administration”. Fortiguard Labs đã thực hiện phân tích chi tiết mã của phần mềm độc hại trong bài đăng blog gốc của họ.
Kính lúp phóng to biểu tượng mối đe dọa phần mềm độc hại, minh họa việc phát hiện Winos4.0
Bạn Có Nên Lo Lắng?
Các game thủ Windows gần đây đã tải xuống các ứng dụng tăng tốc hoặc tối ưu hóa trò chơi từ các nguồn không đáng tin cậy có thể vô tình chứa Winos4.0. Do phần mềm độc hại hiện đại tinh vi hơn các loại malware cũ, việc phát hiện nó đặc biệt khó khăn. May mắn thay, blog của Fortinet đã trình bày chi tiết các Chỉ số Thỏa hiệp (IOCs) để bạn biết cần tìm kiếm điều gì.
Tuy nhiên, nếu bạn đã bị nhiễm, một phương pháp gỡ bỏ từng bước cụ thể vẫn chưa được công bố rộng rãi. Không ngạc nhiên, phần mềm diệt virus của Fortinet đã triển khai khả năng bảo vệ người dùng khỏi Winos4.0. Vì vậy, người dùng nên luôn cảnh giác và chỉ tải phần mềm từ các nguồn chính thức, đáng tin cậy để bảo vệ hệ thống của mình khỏi các mối đe dọa tiềm ẩn như Winos4.0.
