Các tin tặc đã nhận thấy rằng việc đưa mọi công cụ độc hại vào một gói “vũ khí” tấn công không còn là phương thức hiệu quả nhất. Thay vào đó, phần mềm độc hại theo mô-đun (modular malware) đang là xu hướng nhằm “biến hóa” và nguy hiểm hơn.

Modular Malware là gì?

Phần mềm độc hại theo mô-đun là một mối hiểm họa bậc cao mới nhắm đến tấn công máy tính của bạn theo từng giai đoạn khác nhau. Thay vì tấn công một lượt, nó tiến hành theo từng giai đoạn tinh vi hơn.

Đầu tiên, nó sẽ chỉ cài đặt các thành phần quan trọng lên máy tính của bạn. Thay vì làm cho bạn biết được nó đã có mặt, mô-đun đầu tiên sẽ quét máy tính và công cụ an ninh của bạn để tìm hiểu xem bạn là ai, bạn đang sử dụng trình diệt vi-rút nào nhằm tìm ra các điểm yếu để sử dụng công cụ tấn công dễ thành công nhất.

Sau đó, phần mềm độc hại giai đoạn 1 sẽ gọi về cho máy chủ ra lệnh và điều khiển (C2). Từ đó, C2 sẽ gởi các chỉ dẫn tiếp theo cùng với các mô-đun khác để khai thác môi trường máy tính mà nó đã xâm nhập.

Modular malware mạnh hơn phần mềm độc hại kiểu cũ ở chỗ:

- Chủ nhân của nó có thể nhanh chóng thay đổi chữ ký phần mềm độc hại để thoát khỏi sự dò quét của các chương trình diệt vi-rút và an ninh khác.

- Nó cho phép hoạt động linh hoạt trong nhiều loại môi trường máy tính. Theo đó, chủ nhân của nó sẽ có thể ứng phó với từng mục tiêu máy tính khác nhau, hay linh hoạt sử dụng từng mô-đun khác nhau cho từng máy tính cụ thể.

- Các mô-đun đầu tiên rất nhỏ và thường rất dễ bị xem thường.

- Việc kết hợp nhiều mô-đun làm cho các chuyên gia an ninh không biết chắc thủ đoạn tiếp theo là gì.

Các Modular Malware điển hình

- VPNFilter: Là một biến thể phần mềm độc hại gần đây tấn công các bộ định tuyến (router) và những thiết bị Vạn vật kết nối IoT theo 3 giai đoạn. Phần mềm độc hại giai đoạn 1 sẽ liên lạc với máy chủ C2 để tải về mô-đun giai đoạn 2. Mô-đun giai đoạn 2 sẽ thu thập dữ liệu, thực thi các lệnh điều khiển và có thể tấn công phần quản lý thiết bị (bao gồm khả năng “biến thành cục gạch” đối với router, thiết bị IoT hay NAS). Mô-đun giai đoạn 2 cũng có thể tải về các mô-đun giai đoạn 3, chứa một công cụ nghe lén lưu lượng hệ thống điều khiển giám sát và thu thập dữ liệu SCADA và một mô-đun cho phép mô-đun giai đoạn 2 giao tiếp qua mạng ngầm Tor.

- T9000: Là một phần mềm độc hại thu thập dữ liệu rất gian manh. Khi đã cài đặt, nó sẽ cho phép tin tặc thu thập dữ liệu mã hóa, chụp ảnh màn hình của các ứng dụng cụ thể và đặc biệt nhắm vào người dùng Skype, cùng các tập tin Microsoft Office. T9000 có nhiều mô-đun khác nhau để trốn khỏi sự tầm soát của 24 chương trình diệt vi-rút khác nhau.

- Mayhem: Là một phần mềm độc hại theo mô-đun khá cũ, xuất hiện từ năm 2014, nhưng hiện nó vẫn rất nguy hiểm. Phần mềm độc hại này chủ yếu nhắm vào các máy chủ web Linux và Unix. Nó cài đặt thông qua mã độc PHP. Khi đã cài đặt, mã độc này có thể “gọi” nhiều công cụ cài cắm để hình thành cách thức tấn công cuối cùng của nó.

- DiamondFox: Là một trong những phần mềm độc hại theo mô-đun hoàn chỉnh và nguy hiểm nhất. Nó được bán trên nhiều diễn đàn ngầm, được cập nhật thường xuyên và đáp ứng theo yêu cầu riêng của khách hàng, nên tin tặc sẽ có thể thực hiện nhiều cuộc tấn công phức tạp.

Nó cũng có nhiều trình cắm được tắt/ mở dễ dàng qua bảng điều khiển với các công cụ gián điệp được tùy biến, đánh cắp tài khoản, tấn công DDoS, ghi phím, phát tán thư rác và thậm chí “ngốn” RAM.

Cách ngăn chặn

Tăng cường ngăn chặn phần mềm độc hại theo mô-đun xâm nhập hệ thống của bạn là rất quan trọng. Đa số chúng thường sử dụng các tập tin đính kèm email lây nhiễm, có chứa một tập tin Microsoft Office với mã độc VBA. Sở dĩ, các tin tặc sử dụng cách thức này bởi vì dễ dàng gởi các email lây nhiễm cho hàng triệu mục tiêu tiềm năng. Hơn thế nữa, giai đoạn đầu tiên dễ bị coi thường vì việc triển khai nhỏ và dễ dàng “núp bóng” một tập tin Office.

Tốt nhất là bạn nên đảm bảo hệ thống của bạn được cập nhật, và xem xét việc mua chương trình chống phần mềm độc hại rất hiệu quả Malwarebytes Premium.

LÊ PHI (Theo MUO)