Trong bối cảnh người dùng ngày càng cảnh giác với các trang web đáng ngờ và kỹ thuật băm tệp qua các nền tảng như VirusTotal, một làn sóng mã độc trojan mới đang thách thức các phương pháp phòng thủ truyền thống. Những mối đe dọa này ngụy trang dưới dạng ứng dụng máy tính để bàn hợp pháp, chẳng hạn như ứng dụng lưu trữ công thức nấu ăn, công cụ nâng cao hình ảnh hỗ trợ AI và trợ lý ảo, tất cả đều nhúng khả năng độc hại.
Sự Tiến Hóa Của Các Mối Đe Dọa Trojan
Các ví dụ gần đây, không bị phát hiện bởi các công cụ quét của VirusTotal trong nhiều tuần, cho thấy sự thay đổi đáng kể. Các trojan này tích hợp logic độc hại trực tiếp vào các ứng dụng chức năng, thay vì gói riêng biệt mã độc thông qua các công cụ joiner hoặc binder truyền thống.
Điều làm nên sự khác biệt của những “trojan thực sự” này, theo định nghĩa của các nhà nghiên cứu phần mềm độc hại, là khả năng không thể tách rời của chúng khỏi ứng dụng cốt lõi hữu ích. Không giống như phần mềm đa hình hoặc các vector lây nhiễm lừa đảo thường bị gán nhầm là trojan, những mối đe dọa này được nhúng vào chức năng chính của ứng dụng.
Chúng có thể là các lệnh được ẩn dưới dạng steganography trong dữ liệu công thức hoặc thực thi mã điều khiển từ máy chủ C2 trong các phản hồi tư vấn. Đây là một hình thức tinh vi của mã độc khó phát hiện.
Nghiên Cứu Điển Hình Về Ứng Dụng Độc Hại
JustAskJacky: Lập Lịch Trình Tác Vụ Ngầm
Điển hình là ứng dụng JustAskJacky, với nhân vật hoạt hình cung cấp mẹo vặt gia đình. Ứng dụng này ngấm ngầm lập lịch các tác vụ để thực thi mã tùy ý từ máy chủ điều khiển và chỉ huy (C2). Việc này sử dụng các hàm eval trên các payload đã được giải mã.
Kỹ thuật này cho phép mã độc duy trì khả năng ẩn mình, thực thi lệnh từ xa mà không cần tải thêm tệp tin rõ ràng. Điều này gây khó khăn cho việc phát hiện dựa trên chữ ký.
Tham khảo thêm về các cuộc tấn công liên quan đến hội nghị web và C2 tại: Ghost Calls Attack Exploits Web Conferencing.
TamperedChef: Lệnh Điều Khiển Trong Dữ Liệu
Tương tự, ứng dụng công thức nấu ăn TamperedChef diễn giải các ký tự khoảng trắng trong các công thức tải xuống như các lệnh thực thi. Điều này biến nội dung vô hại thành một cơ chế cửa hậu cho mã độc. Đây là một ví dụ điển hình về việc khai thác dữ liệu không gian trắng.
Việc sử dụng kỹ thuật steganography này cho phép mã độc được nhúng trực tiếp vào dữ liệu mà người dùng cho là an toàn, gây khó khăn cho các giải pháp bảo mật truyền thống.
Công Cụ AI Image Search: Chiếm Quyền Truy Cập Hệ Thống
Một công cụ tìm kiếm hình ảnh AI, hứa hẹn nâng cao chất lượng ảnh, đã cấp cho các tác nhân đe dọa quyền truy cập hệ thống trái phép đổi lấy dịch vụ “miễn phí” của nó. Hình thức này là một mối đe dọa mạng tiềm ẩn, khi người dùng dễ dàng bị thu hút bởi các tiện ích có vẻ vô hại.
Điều này cho thấy cách mã độc có thể được phân phối. Nó liên kết trực tiếp với các ứng dụng có vẻ vô hại với mục tiêu có được quyền truy cập trái phép vào hệ thống, sau đó thực hiện các hành vi độc hại.
LLMs và Kỹ Thuật Né Tránh Mã Độc Tiên Tiến
Sự phục hồi của những trojan này, vốn hiếm thấy trong 10-15 năm qua, bắt nguồn từ khả năng tiếp cận các Mô hình Ngôn ngữ Lớn (LLMs). LLMs cho phép các tác nhân đe dọa tạo ra các trang web thuyết phục với bố cục chuyên nghiệp, nội dung không lỗi và cơ sở dữ liệu được AI quản lý. Điều này làm xói mòn khả năng “cảm tính” của người dùng dựa trên nỗ lực nhận thức hoặc lỗi ngữ pháp. Đây là một yếu tố quan trọng trong việc phân phối mã độc.
Hơn nữa, LLMs tạo điều kiện cho việc tạo ra các codebase hoàn toàn mới, không đóng gói cho các ứng dụng này. Điều này giúp né tránh các trình quét tĩnh trên các nền tảng đa máy quét như VirusTotal, vốn thiếu phân tích hành vi nâng cao. Đây là một thách thức lớn trong cuộc chiến chống mã độc và các biến thể mới.
Theo G Data, mối liên hệ giữa LLMs và việc né tránh phần mềm diệt virus nằm ở giới hạn của việc phát hiện tĩnh. Các tác nhân đe dọa kiểm tra mã độc của họ chống lại các trình quét bị hạn chế của VirusTotal. Các trình quét này ưu tiên các chữ ký đã biết hơn là phân tích động, nhận biết ngữ cảnh hoặc trong bộ nhớ.
Tham khảo báo cáo chuyên sâu của G Data về JustAskJacky AI Trojan tại: JustAskJacky – AI Trojan Horse come back.
Trước kỷ nguyên LLM, việc né tránh thường yêu cầu các công cụ đóng gói để làm xáo trộn mã. Đây là một giải pháp ít tốn công hơn so với việc viết lại hoàn toàn. Giờ đây, LLMs tự động hóa việc tạo ra mã có cấu trúc, có chú thích, thể hiện rõ trong các chức năng dễ đọc của TamperedChef, chi tiết về việc kết xuất steganography. Điều này làm cho việc đóng gói trở nên không cần thiết và kéo dài thời gian không bị phát hiện của mã độc, như đã thấy trong khoảng thời gian sáu tuần không bị phát hiện của nó.
Các chỉ số cho thấy sự tham gia của LLM bao gồm các bình luận quá hữu ích giúp các kỹ sư đảo ngược, một điều hiếm thấy trong mã độc được tạo thủ công. Đây là một dấu hiệu nhận biết quan trọng đối với các nhà nghiên cứu bảo mật.
Giới Hạn Của Phát Hiện Tĩnh và Sự Cần Thiết Của Phân Tích Hành Vi
Xu hướng này nhấn mạnh sự không đủ của các chữ ký tĩnh đơn thuần trong việc đối phó với mã độc mới và phức tạp. Các biện pháp phòng thủ hiệu quả đòi hỏi giám sát hành vi, phân tích động và chữ ký theo ngữ cảnh. Các giải pháp chống virus cần phải thích ứng để phát hiện xâm nhập các mối đe dọa tinh vi này một cách kịp thời.
Các giải pháp chống virus đã bắt đầu gắn cờ các bất thường. Ví dụ, lịch trình tác vụ ngẫu nhiên của JustAskJacky hoặc việc thực thi lệnh ký tự khoảng trắng của TamperedChef trong thời gian chạy. Điều này chứng tỏ vai trò quan trọng của phân tích hành vi trong việc nhận diện các mối nguy hiểm tiềm tàng.
Đối với người dùng, các thói quen lâu đời như tránh tải phần mềm lậu và băm tệp vẫn rất cần thiết. Tuy nhiên, chúng phải phát triển. Sự cảnh giác thông thường, mặc dù được khuyến khích, sẽ thất bại trước các mối đe dọa được LLM “đánh bóng”, không thể phân biệt được với các trang web hợp pháp. Đây là một thách thức lớn đối với an toàn thông tin cá nhân.
Khi các trojan tích hợp sâu hơn vào các công cụ hàng ngày, việc điều chỉnh các phương pháp phát hiện theo những thay đổi này, tận dụng các kỹ thuật hàng thập kỷ trong bối cảnh hiện đại, trở nên rất quan trọng đối với khả năng phục hồi an ninh mạng. Đây là một nhiệm vụ cấp thiết nhằm ngăn chặn sự lây lan của mã độc và bảo vệ cơ sở hạ tầng.
