Một chiến dịch phát tán **mã độc WebRAT** mới đã được phát hiện, sử dụng các kho lưu trữ GitHub để lan truyền phần mềm độc hại này. Mã độc được ngụy trang dưới dạng các công cụ khai thác (proof-of-concept exploits) hoặc tiện ích trò chơi, nhắm mục tiêu vào người dùng tìm kiếm gian lận game, phần mềm lậu và các bản vá ứng dụng cho các tựa game phổ biến như **Rust**, **Counter-Strike** và **Roblox**.
Chiến dịch này tận dụng nhiều kênh phân phối bao gồm GitHub, bình luận video trên YouTube và các trang web phần mềm vi phạm bản quyền. Điều này tạo ra một **mối đe dọa mạng** rộng khắp, ảnh hưởng đến cả cá nhân game thủ và môi trường doanh nghiệp.
Tổng quan về mã độc WebRAT và Khả năng tấn công
**WebRAT** là một loại mã độc đa chức năng, kết hợp khả năng đánh cắp thông tin (stealer) với công cụ truy cập từ xa (Remote Access Tool – **RAT**). Mã độc này có thể trích xuất các thông tin đăng nhập nhạy cảm từ nhiều dịch vụ và ứng dụng quan trọng.
Chức năng đánh cắp thông tin
- **Thông tin đăng nhập**: **WebRAT** được thiết kế để thu thập tên người dùng và mật khẩu từ các nền tảng chơi game như **Steam**. Nó cũng nhắm mục tiêu vào các ứng dụng giao tiếp phổ biến như **Discord** và **Telegram**.
- **Ví tiền điện tử**: Một trong những khả năng đáng lo ngại nhất là việc đánh cắp thông tin từ các ví tiền điện tử, tiềm ẩn nguy cơ gây thiệt hại tài chính nghiêm trọng cho nạn nhân.
Khả năng giám sát và kiểm soát từ xa
Ngoài chức năng đánh cắp dữ liệu, **mã độc WebRAT** còn sở hữu các tính năng giám sát và kiểm soát từ xa tiên tiến, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống bị lây nhiễm.
- **Giám sát màn hình**: Mã độc có thể theo dõi màn hình máy tính để bàn của nạn nhân theo thời gian thực. Điều này cho phép kẻ tấn công thu thập thông tin trực quan về hoạt động của người dùng, bao gồm các tài liệu nhạy cảm, tin nhắn hoặc thông tin cá nhân.
- **Truy cập webcam**: Kẻ tấn công có khả năng kích hoạt và truy cập webcam của thiết bị bị lây nhiễm. Điều này có thể được sử dụng để theo dõi nạn nhân một cách bí mật, thu thập hình ảnh hoặc video nhạy cảm, dẫn đến các cuộc tấn công tống tiền hoặc đe dọa riêng tư.
- **Kiểm soát máy tính toàn diện**: **WebRAT** cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn máy tính thông qua giao diện người dùng từ xa. Điều này bao gồm khả năng thực thi lệnh CLI, sửa đổi cấu hình hệ thống, cài đặt hoặc gỡ bỏ phần mềm, và truy cập vào tất cả các tệp và tài nguyên của hệ thống.
Các khả năng này cho phép kẻ tấn công không chỉ thu thập thông tin cá nhân mà còn theo dõi các hoạt động của nạn nhân và triển khai thêm các payload độc hại khác. Ví dụ, chúng có thể cài đặt các công cụ đào tiền điện tử (cryptocurrency miners) hoặc các phần mềm chặn truy cập (blockers).
Rủi ro và Tác động của cuộc tấn công mạng với mã độc WebRAT
Dữ liệu được thu thập bởi **mã độc WebRAT** có thể được sử dụng cho nhiều mục đích độc hại khác nhau, gây ra những hậu quả nghiêm trọng cho cả cá nhân và tổ chức.
Hậu quả đối với người dùng cá nhân
- **Chiếm quyền tài khoản**: Thông tin đăng nhập bị đánh cắp có thể dẫn đến việc chiếm đoạt tài khoản trên các nền tảng quan trọng, từ game đến mạng xã hội và dịch vụ tài chính.
- **Trộm cắp tài chính**: Với quyền truy cập vào ví tiền điện tử hoặc thông tin ngân hàng, kẻ tấn công có thể thực hiện các giao dịch trái phép, gây thiệt hại tài chính trực tiếp cho nạn nhân.
- **Tống tiền**: Dữ liệu cá nhân, hình ảnh từ webcam hoặc thông tin nhạy cảm khác có thể bị sử dụng để tống tiền nạn nhân, gây áp lực tâm lý nặng nề.
- **Các cuộc tấn công quấy rối (Swatting)**: Trong một số trường hợp được báo cáo, thông tin cá nhân đã được sử dụng để tạo ra các báo cáo sai lệch cho cảnh sát, dẫn đến việc lực lượng chức năng đến nhà nạn nhân mà không có lý do chính đáng, gây hoang mang và nguy hiểm.
Nguy cơ đối với môi trường doanh nghiệp
Mặc dù ban đầu nhắm mục tiêu vào game thủ, **rủi ro bảo mật** từ **mã độc WebRAT** mở rộng sang cả các nhân viên doanh nghiệp. Nếu nhân viên tải xuống phần mềm vi phạm bản quyền trên thiết bị của công ty, **WebRAT** có thể dễ dàng xâm phạm thông tin nhạy cảm của doanh nghiệp.
- **Rò rỉ dữ liệu nhạy cảm**: Mã độc có thể thu thập các cuộc trò chuyện nội bộ, tài liệu kinh doanh bảo mật và các dữ liệu quan trọng khác.
- **Xâm nhập mạng nội bộ**: Khả năng kiểm soát hệ thống từ xa cho phép kẻ tấn công di chuyển sâu hơn vào mạng nội bộ của công ty, có khả năng dẫn đến các vi phạm bảo mật lớn hơn, ảnh hưởng đến toàn bộ hệ thống và dữ liệu của tổ chức.
Chiến lược Phân phối và Kỹ thuật Social Engineering
Chiến lược phân phối của **mã độc WebRAT** phụ thuộc rất nhiều vào kỹ thuật social engineering tinh vi, khai thác lòng tin của người dùng vào các nền tảng mã nguồn mở và video hướng dẫn.
Kỹ thuật lừa đảo trên GitHub
Kẻ tấn công tạo ra các kho lưu trữ GitHub giả mạo, trông có vẻ giống như các công cụ khai thác Proof-of-Concept (PoC) hợp pháp, các bản hack game hoặc tiện ích hữu ích. Để tăng độ tin cậy, những kho lưu trữ này thường đi kèm với:
- **Tài liệu chi tiết**: Các hướng dẫn và mô tả kỹ thuật giả mạo, được viết một cách chuyên nghiệp.
- **Đánh giá và bình luận giả**: Tạo ấn tượng rằng công cụ đã được nhiều người sử dụng và xác nhận hiệu quả.
Kênh YouTube và tải xuống độc hại
Song song với GitHub, kẻ tấn công cũng sử dụng YouTube để lan truyền **mã độc WebRAT**. Chúng tải lên các video hướng dẫn sử dụng các công cụ giả mạo, sau đó để lại các liên kết tải xuống các kho lưu trữ chứa mã độc trong phần bình luận.
Quá trình lây nhiễm và duy trì quyền truy cập
Khi người dùng tải xuống và thực thi các tệp từ các liên kết độc hại, **mã độc WebRAT** sẽ tự động cài đặt một cách âm thầm vào hệ thống. Quá trình này diễn ra mà không gây ra bất kỳ nghi ngờ ngay lập tức nào cho nạn nhân.
Sau khi được cài đặt, mã độc sẽ thiết lập cơ chế duy trì quyền truy cập (persistence) trên hệ thống của nạn nhân. Điều này đảm bảo rằng **WebRAT** sẽ vẫn hoạt động ngay cả sau khi hệ thống được khởi động lại. Từ đó, nó bắt đầu trích xuất dữ liệu và gửi về máy chủ chỉ huy và kiểm soát (Command-and-Control – C2) của kẻ tấn công.
Phát hiện và Chỉ báo về mã độc WebRAT
Để chống lại mối đe dọa từ **mã độc WebRAT**, các đội ngũ bảo mật cần triển khai các biện pháp phát hiện chủ động. Các nhà phân tích tại Solar đã phát hiện ra **WebRAT** trong quá trình nghiên cứu các hoạt động trên dark web và ghi nhận các phiên bản đầu tiên của mã độc xuất hiện vào tháng 1 năm 2025. Hiện tại, **mã độc WebRAT** đang được rao bán cho các tội phạm mạng thông qua các kênh kín, làm tăng khả năng tiếp cận của nhiều nhóm tác nhân đe dọa khác nhau.
Nguồn tin từ Solar Analysts đã cung cấp các chỉ báo về sự thỏa hiệp (Indicators of Compromise – **IOCs**) giúp các đội ngũ an ninh có thể nhận diện hoạt động của **WebRAT**. Các IOCs này bao gồm:
- **Địa chỉ máy chủ (Server Addresses)**: Các địa chỉ IP hoặc tên miền mà **mã độc WebRAT** sử dụng để giao tiếp với máy chủ C2 của kẻ tấn công. Việc giám sát lưu lượng mạng đến và đi từ các địa chỉ này có thể giúp **phát hiện xâm nhập**.
- **Chữ ký mạng (Network Signatures)**: Các mẫu lưu lượng mạng đặc trưng hoặc các giao thức tùy chỉnh mà **WebRAT** sử dụng để truyền dữ liệu. Việc phát hiện các chữ ký này thông qua hệ thống phát hiện xâm nhập (IDS) hoặc phần mềm phân tích mạng là rất quan trọng.
Việc theo dõi và phân tích các IOCs này là cần thiết để xác định các hệ thống bị lây nhiễm và ngăn chặn sự lây lan của mã độc trong mạng. Tham khảo thêm về phân tích của Solar tại rt-solar.ru.
