Hiện nay, game thủ Windows đang trở thành mục tiêu của một framework mã độc tinh vi mang tên Winos4.0. Phần mềm độc hại này được các nhà nghiên cứu tại Fortinet, một công ty an ninh mạng nổi tiếng, phát hiện lần đầu tiên và được ngụy trang khéo léo dưới dạng các công cụ cài đặt và tối ưu trò chơi. Đây là một mối đe dọa đáng lo ngại mà bất kỳ người dùng máy tính Windows nào cũng cần cảnh giác để bảo vệ dữ liệu và hệ thống của mình.
Winos4.0 Hoạt Động Như Thế Nào?
Một hacker đang ngồi trước laptop với màn hình đăng nhập và các cảnh báo xung quanh
Bài viết trên blog Fortiguard Labs của Fortinet đã mô tả chi tiết phương thức tấn công và khả năng của mã độc Winos4.0. Winos4.0 được phát tán khi một người dùng Windows không nghi ngờ cài đặt một ứng dụng liên quan đến game đã bị nhiễm độc. Các ứng dụng này thường mang vỏ bọc là công cụ cài đặt, tăng tốc hoặc tối ưu hóa hiệu suất chơi game. Game thủ thường tìm kiếm những công cụ này với hy vọng cải thiện trải nghiệm trực tuyến và đạt được lợi thế.
Tuy nhiên, ngay sau khi ứng dụng độc hại được cài đặt, Winos4.0 sẽ tải xuống một tệp tin có định dạng .bmp. Tệp tin này tiếp tục giải nén một thư viện liên kết động (DLL) của Windows, sau đó lây nhiễm vào hệ thống bằng kỹ thuật tiêm shell-code (shell-code injection).
Fortinet nhận định rằng “Winos4.0 là một framework mạnh mẽ… có thể hỗ trợ nhiều chức năng và dễ dàng kiểm soát các hệ thống bị xâm nhập. Toàn bộ chuỗi tấn công liên quan đến nhiều dữ liệu được mã hóa và rất nhiều giao tiếp với máy chủ C2 (Command and Control) để hoàn tất việc tiêm nhiễm. Người dùng nên cảnh giác về nguồn gốc của bất kỳ ứng dụng mới nào và chỉ tải xuống phần mềm [chơi game] từ các nguồn đủ điều kiện.”
Điều đáng sợ hơn là Winos4.0 có khả năng giao tiếp với các máy chủ bên ngoài, cho phép kẻ tấn công thực hiện các cuộc tấn công từ xa. Ngoài ra, nó còn có thể thu thập thông tin hệ thống, theo dõi bộ nhớ tạm (clipboard), chụp màn hình và kiểm tra hoạt động ví tiền điện tử của bạn. Theo thông tin từ Bleeping Computer, Winos4.0 thậm chí còn có khả năng phát hiện các phần mềm độc hại và phần mềm diệt virus phổ biến từ Kaspersky, Avast, Bitdefender, Malwarebytes và McAfee, cho thấy mức độ tinh vi của nó.
Các Tổ Chức Giáo Dục Có Thể Nằm Trong Tầm Ngắm
Sử dụng kính lúp để phát hiện các mối đe dọa mã độc
Dựa trên các mô tả file trong mã nguồn của mã độc, Fortiguard Labs đã nhận định rằng Winos4.0 cuối cùng có thể nhắm đến việc thao túng các hệ thống trong lĩnh vực giáo dục. Dấu hiệu này được chứng minh bằng một mô tả file có tiêu đề “Campus Administration” (Quản trị khuôn viên trường). Fortiguard Labs đã thực hiện một phân tích chi tiết về mã nguồn của mã độc như một phần của bài đăng blog gốc của họ.
Người Dùng Windows Có Nên Lo Lắng?
Game thủ Windows đã tải xuống các ứng dụng tăng tốc hoặc tối ưu game từ các nguồn không rõ ràng, tiềm ẩn rủi ro, có thể đang vô tình chứa mã độc Winos4.0. Do các loại mã độc hiện đại thường tinh vi và khó bị phát hiện hơn so với các loại cũ, việc nhận biết sự lây nhiễm trở nên đặc biệt khó khăn. May mắn thay, blog của Fortinet đã cung cấp chi tiết về các Dấu hiệu Thỏa hiệp (Indicators of Compromise – IOCs) để người dùng biết mình cần tìm kiếm điều gì.
Tuy nhiên, nếu bạn đã bị lây nhiễm, một phương pháp loại bỏ từng bước cụ thể vẫn chưa được công bố rộng rãi. Mặc dù vậy, không có gì ngạc nhiên khi phần mềm diệt virus của Fortinet đã được cập nhật để bảo vệ người dùng của họ khỏi Winos4.0.
Winos4.0 là một lời nhắc nhở quan trọng về sự nguy hiểm của các phần mềm giả mạo trong thế giới công nghệ. Để bảo vệ bản thân, hãy luôn cảnh giác với các nguồn tải phần mềm và ưu tiên chỉ sử dụng các nguồn chính thức, uy tín. Thường xuyên cập nhật phần mềm diệt virus và sao lưu dữ liệu quan trọng cũng là những biện pháp cần thiết để giảm thiểu rủi ro. Hãy chia sẻ thông tin này để nâng cao nhận thức cộng đồng game thủ về mối đe dọa Winos4.0.
