Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch phát tán mã độc tinh vi, trong đó tin tặc sử dụng trình cài đặt giả mạo các phần mềm phổ biến như LetsVPN và trình duyệt QQ để phát tán framework Winos 4.0 – một loại mã độc điều khiển từ xa (RAT) nguy hiểm.
Chiến dịch được phát hiện bởi Rapid7 từ tháng 2/2025
Theo báo cáo từ Rapid7, chiến dịch này sử dụng một trình tải nhiều tầng, hoạt động trong bộ nhớ có tên Catena để phát tán Winos 4.0. Đây là một kỹ thuật nhằm tránh bị phát hiện bởi các phần mềm diệt virus truyền thống, vì toàn bộ payload chỉ tồn tại trong bộ nhớ hệ thống.
“Catena sử dụng shellcode tích hợp cùng với cơ chế chuyển đổi cấu hình để tải các payload như Winos 4.0 hoàn toàn trong bộ nhớ,” – nhà nghiên cứu Anna Širokova và Ivan Feigl cho biết. “Khi bị cài đặt, mã độc lặng lẽ kết nối đến các máy chủ do tin tặc kiểm soát – phần lớn được đặt tại Hồng Kông – để nhận lệnh hoặc tải thêm mã độc khác.”
Mục tiêu chính: người dùng nói tiếng Trung
Winos 4.0 (còn gọi là ValleyRAT) được phát hiện lần đầu bởi Trend Micro vào tháng 6/2024 và thường được phân phối thông qua các file cài đặt MSI giả mạo của các ứng dụng VPN, hướng đến người dùng Trung Quốc. Chiến dịch này được cho là có liên quan đến nhóm tin tặc Void Arachne, còn được biết đến với cái tên Silver Fox.
Các đợt tấn công tiếp theo cũng sử dụng mồi nhử liên quan đến phần mềm chơi game, công cụ tăng tốc máy tính, và email lừa đảo giả danh cơ quan chính phủ như Cục Thuế Đài Loan.
Winos 4.0 – Mã độc RAT thế hệ mới
Framework Winos 4.0 được xây dựng dựa trên mã độc Gh0st RAT nổi tiếng, được viết bằng C++ và hỗ trợ nhiều plugin để:
- Thu thập dữ liệu
- Mở quyền điều khiển từ xa
- Phát động tấn công từ chối dịch vụ (DDoS)
Phân tích chuỗi lây nhiễm: NSIS Installer và kỹ thuật tải ẩn
Theo Rapid7, các mẫu mã độc ghi nhận từ tháng 2/2025 sử dụng trình cài NSIS được chỉnh sửa, chứa ứng dụng hợp pháp có chữ ký số, cùng với mã shellcode giấu trong file .ini và kỹ thuật DLL injection phản chiếu để duy trì hoạt động ẩn trong hệ thống. Toàn bộ chuỗi lây nhiễm này được đặt tên là Catena.
Chuỗi lây nhiễm bắt đầu bằng một trình cài giả danh trình duyệt QQ (dựa trên nhân Chromium). Khi được thực thi, nó sẽ tải framework Winos 4.0 và kết nối đến hạ tầng C2 sử dụng cổng TCP 18856 và HTTPS 443.
Đợt tấn công tháng 4/2025: Ngụy trang dưới dạng LetsVPN
Vào tháng 4/2025, Rapid7 phát hiện biến thể mới của Catena sử dụng trình cài đặt LetsVPN để phát tán mã độc. Điểm nổi bật:
- Chạy lệnh PowerShell để thêm ngoại lệ vào Microsoft Defender cho toàn bộ ổ đĩa (C:\ đến Z:)
- Kiểm tra tiến trình đang chạy để phát hiện phần mềm diệt virus 360 Total Security
- File thực thi được ký bằng chứng chỉ VeriSign đã hết hạn, mang tên Tencent Technology (Shenzhen)
Khi bị thực thi, file này sẽ nạp DLL mã độc trong bộ nhớ và kết nối đến máy chủ điều khiển như 134.122.204[.]11:18852 hoặc 103.46.185[.]44:443 để tiếp tục tải Winos 4.0.
Nhận định từ các chuyên gia an ninh mạng
“Chiến dịch này cho thấy một tổ chức tội phạm mạng được tổ chức chặt chẽ, với các kỹ thuật tinh vi nhằm ẩn mình và tập trung vào khu vực sử dụng tiếng Trung.” – Rapid7 nhận định.
Chiến dịch sử dụng các công cụ phổ biến với người dùng, chữ ký số hợp lệ (hoặc giả mạo hợp lệ), và kỹ thuật tải mã độc trong bộ nhớ để né tránh hệ thống phòng thủ. Việc trùng lặp hạ tầng C2 và lựa chọn mục tiêu cho thấy nhiều khả năng đây là hoạt động có liên quan đến APT Silver Fox.