Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
1. AsyncRAT
Đây là một loại phần mềm độc hại được phát hiện lần đầu vào năm 2019, có chức năng ghi lại hoạt động màn hình, theo dõi thao tác bàn phím và cài đặt phần mềm độc hại khác. Năm 2024, AsyncRAT tiếp tục là mối đe dọa đáng kể, thường được ngụy trang dưới dạng phần mềm lậu, phần mềm bẻ khóa và tham gia vào các cuộc tấn công phức tạp sử dụng script do trí tuệ nhân tạo (AI) tạo ra. Chuỗi lây nhiễm của mã độc AsyncRAT được minh họa như Hình 1.
Hình 1. Chuỗi lây nhiễm mã độc AsyncRAT
Kẻ tấn công sử dụng một file “html” được gửi qua email spam. Khi người dùng mở file này thì một file WSF (Windows Script File) được tự động tải xuống. Khi file WSF được mở, nó tự động thực thi và tải một file WSF từ xa khác. Ở bước này, không cần bất kỳ tương tác nào từ người dùng. WSF sử dụng PowerShell với sự hỗ trợ của công cụ BITS (Background Intelligent Transfer Service) là một dịch vụ của Windows được Microsoft phát triển để hỗ trợ truyền dữ liệu trong nền, chủ yếu cho các ứng dụng yêu cầu truyền tải file không làm ảnh hưởng đến hiệu suất hệ thống. BITS thường được sử dụng bởi các công cụ hợp pháp như Windows Update, nhưng kẻ tấn công cũng tận dụng nó cho mục đích xấu, chẳng hạn như tải xuống và thực thi mã độc.
Trong trường hợp này, file nén ZIP được tải xuống, bao gồm file “bat”, file “ps1” và nhiều file “txt”. File “bat” được thiết kế để duy trì tính liên tục của cuộc tấn công, thông qua việc thiết lập tác vụ định kỳ để chạy file “js”. File “js” tiếp tục thực thi một file “bat” khác, file này sẽ gọi đến file “ps1”. File “ps1” chịu trách nhiệm giải mã và chèn payload vào quá trình hoạt động của hệ thống với sự hỗ trợ của các file “txt” khác. Cuối cùng, file “ps1” thực thi payload AsyncRAT, được chèn vào tiến trình hợp pháp “aspnet_compiler[.]exe“. Điều này giúp kẻ tấn công che giấu phần mềm độc hại và thực hiện các hoạt động điều khiển từ xa trên thiết bị bị nhiễm.
AI có thể viết các script PowerShell (ps1), hoặc các mã khác để thực hiện các tác vụ độc hại mà không cần nhiều sự can thiệp thủ công. AI tạo ra các script thực hiện tải payload từ máy chủ điều khiển và ra lệnh (C2), kết hợp với các công cụ như BITS, PowerShell, hoặc WMI để che giấu hành vi, mã hóa payload AsyncRAT để tránh bị nhận diện bởi các giải pháp quét chữ ký.
2. Remcos
Đây là một công cụ truy cập từ xa RAT (Remote Access Trojan), ban đầu được quảng cáo như một công cụ hợp pháp dành cho quản trị viên hệ thống. Tuy nhiên, Remcos đã bị các nhóm tội phạm mạng lạm dụng để thực hiện các cuộc tấn công độc hại trên quy mô lớn. Tương tự như AsyncRAT, Remcos cung cấp khả năng truy cập và điều khiển hoàn toàn hệ thống từ xa, ghi lại các thao tác bàn phím, ghi lại hoạt động màn hình, ghi âm,… cho phép kẻ tấn công sao chép, xóa, hoặc download/upload dữ liệu từ thiết bị bị nhiễm.
Vào năm 2024, các chiến dịch phân phối Remcos đã sử dụng các kỹ thuật như tấn công dựa trên tập lệnh, thường bắt đầu bằng VBScript khởi chạy tập lệnh PowerShell để triển khai phần mềm độc hại và khai thác các lỗ hổng như CVE-2017-11882 bằng cách tận dụng các file XML độc hại.
Hình 2. Chuỗi lây nhiễm mã độc Remcos bắt đầu bằng VBScript
Chuỗi lây nhiễm mã độc trong Hình 2 cho thấy cách một mã độc Remcos RAT được triển khai thông qua một loạt các bước được tự động hóa và che giấu. Một file VBS được phân phối thông qua email lừa đảo, trang web độc hại hoặc file đính kèm.
Khi người dùng vô tình mở file, mã độc bắt đầu được thực thi. File VBS kích hoạt một đoạn mã PowerShell đầu tiên đã được làm rối mã (obfuscated) để che giấu hành vi. Đoạn mã PowerShell thứ hai được thực thi, phức tạp hơn và chứa mã độc hoặc các lệnh cần thiết để thực hiện các giai đoạn tiếp theo. Đoạn mã này thực hiện tải xuống các payload, chẳng hạn như file “exe” hoặc file hỗ trợ khác (DLL, script bổ sung). Mã độc sử dụng lệnh cmd[.]exe để tạo một thư mục mới có tên System Update nằm trong đường dẫn: /AppData/Local/Microsoft/LocalLow/System Update. Sau khi tạo thư mục và tải xuống các file độc hại, một đoạn mã PowerShell được thực thi từ thư mục này. Payload cuối cùng là file “exe” (Remcos RAT), được thiết kế để điều khiển từ xa và thu thập thông tin.
3. XWorm
XWorm xuất hiện lần đầu vào tháng 7/2022, phần mềm độc hại này cho phép tội phạm mạng kiểm soát từ xa các máy tính bị nhiễm, có thể thu thập nhiều thông tin nhạy cảm và theo dõi hoạt động của nạn nhân, bao gồm ghi lại thao tác bàn phím, chụp hình từ webcam và nghe lén. Năm 2024, XWorm tham gia vào nhiều cuộc tấn công quy mô lớn, lợi dụng các dịch vụ hợp pháp để che giấu hoạt động độc hại.
Hình 3. Email lừa đảo thường là giai đoạn đầu của các cuộc tấn công Xworm
Tương tự như các mã độc RAT khác, phương thức lây nhiễm của XWorm có một số điểm tương đồng. Phần mềm độc hại này dựa nhiều vào PowerShell để tải xuống và thực thi payload, với các script đã được làm rối mã nhiều lớp. Điều này giúp nó dễ dàng tránh được các biện pháp bảo mật dựa trên chữ ký.
Trong cuộc tấn công được minh họa như Hình 3, email lừa đảo có chứa liên kết đến Google Drive. Sau khi click vào liên kết, các file nén chứa các tập lệnh “vbs” được tải xuống và thực hiện chuỗi lây nhiễm giống như Remcos. Tuy nhiên, XWorm nổi bật hơn nhờ khả năng che giấu mạnh mẽ, nhiều lớp rối mã và sử dụng PowerShell kết hợp với LOLBins như RegAsm và BITS, điều này giúp nó khó bị phát hiện hơn.
Hình 4. XWorm sử dụng MSBuild[.]exe để tồn tại trên hệ thống
4. Lumma
Phần mềm độc hại này thuộc nhóm mã độc Stealer (mã độc đánh cắp thông tin như RedLine Stealer, Raccoon Stealer, Vidar Stealer), được thiết kế để đánh cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập, dữ liệu tài chính và thông tin cá nhân, đã từng được bán công khai trên Dark Web kể từ năm 2022.
Lumma được cập nhật thường xuyên để nâng cao khả năng của nó. Phần mềm độc hại này có thể ghi lại thông tin chi tiết từ các hệ thống bị xâm phạm, chẳng hạn như lịch sử duyệt web và dữ liệu ví tiền điện tử, bên cạnh đó có thể được sử dụng để cài đặt phần mềm độc hại khác trên các thiết bị lây nhiễm.
Năm 2024, Lumma đã được kích hoạt thông qua nhiều phương pháp khác nhau, bao gồm các trang CAPTCHA giả mạo, torrent và email lừa đảo có mục tiêu. Lumma sử dụng các tập lệnh như “vbs” hoặc “js” để tải xuống và thực thi payload chính. Mã độc ban đầu kết nối với máy chủ C2 để tải xuống payload Lumma chính (thường là tệp thực thi exe). Sau khi được thực thi, mã độc sẽ thực hiện đánh cắp thông tin trình duyệt: Cookie, lịch sử duyệt web và thông tin đăng nhập từ các trình duyệt phổ biến như Chrome, Edge, Firefox,… thông tin hệ thống, dữ liệu ví tiền điện tử… và thực hiện các hành vi độc hại khác. Với mục đích chính là thu thập thông tin, Lumma thực hiện mã hóa dữ liệu và gửi nó đến máy chủ C2 thông qua giao thức HTTP/HTTPS.
Hình 5. Phần mềm độc hại Luma kết nối tới máy chủ C2 và thực hiện đánh cắp dữ liệu
5. Lockbit
Đây là một trong những dòng mã dộc tống tiền nguy hiểm và tinh vi nhất hiện nay, gây ra các cuộc tấn công mạng trên toàn cầu, chiếm một phần đáng kể trong tất cả các cuộc tấn công Ransomware-as-a-Service (RaaS). Mã độc LockBit đã tấn công nhiều tổ chức lớn trên toàn thế giới, bao gồm Royal Mail của Anh và National Aerospace Laboratories của Ấn Độ (năm 2024). Phần mềm độc hại này không chỉ nhắm đến việc mã hóa dữ liệu mà còn tận dụng chiến thuật tống tiền kép để gia tăng sức ép đối với nạn nhân. Nếu nạn nhân không trả tiền chuộc, LockBit sẽ đe dọa công khai hoặc bán dữ liệu bị đánh cắp.
Mặc dù, các cơ quan thực thi pháp luật đã thực hiện các bước để chống lại nhóm LockBit, dẫn đến việc bắt giữ một số nhà phát triển và đối tác. Bất chấp những nỗ lực này, nhóm vẫn tiếp tục hoạt động với kế hoạch phát hành phiên bản mới LockBit 4.0 vào năm 2025.
.jpg)
Các mối đe dọa từ Lumma, XWorm, AsyncRAT, Remcos và LockBit đòi hỏi việc triển khai các giải pháp bảo mật nghiêm ngặt, vì vậy các tổ chức và cá nhân cần thường xuyên cập nhật phần mềm, hệ điều hành và các bản vá bảo mật để giảm thiểu nguy cơ bị khai thác bởi các lỗ hổng bảo mật. Áp dụng mô hình Zero Trust giúp kiểm soát chặt chẽ mọi truy cập, ngăn chặn các mối đe dọa tiềm ẩn. Đồng thời, xây dựng quy trình phản ứng sự cố hiệu quả và tổ chức các cuộc diễn tập an ninh mạng định kỳ sẽ nâng cao khả năng phát hiện và xử lý nhanh chóng trước các cuộc tấn công từ các phần mềm độc hại nêu trên. Sự kết hợp giữa công nghệ hiện đại, chính sách bảo mật chặt chẽ và đào tạo nhận thức an ninh mạng sẽ tạo ra một hệ thống phòng thủ vững chắc, giúp bảo vệ dữ liệu quan trọng trước những mối đe dọa ngày càng tinh vi trên không gian mạng.
Nguồn: Tạp chí ATTT
