Phân Tích Cơ Chế Triển Khai XWorm Payload Qua JScript Loader Độc Hại
Trong bài viết này, chúng ta sẽ đi sâu phân tích một phương thức triển khai malware tinh vi được tiết lộ trong báo cáo của GBHackers với tiêu đề “Unmasking XWorm Payload Execution Path through Jailbreaking a Malicious JScript Loader”. Cơ chế này dựa trên một JScript loader độc hại để phân phối các payload khác nhau tùy thuộc vào vị trí địa lý của nạn nhân. Đây là một mối đe dọa nghiêm trọng đối với các hệ thống CNTT, đòi hỏi sự hiểu biết sâu sắc và các biện pháp phòng thủ phù hợp từ các chuyên gia bảo mật.
Những Điểm Chính Về Cơ Chế Tấn Công
- Phương Thức Triển Khai Malware: Cuộc tấn công bắt đầu từ một tệp JScript, thường được phân phối qua các tác vụ được lên lịch (scheduled tasks) hoặc chiến dịch giả mạo CAPTCHA như ClickFix. Tệp JScript này xây dựng và thực thi động một lệnh PowerShell bằng cách ghép các đoạn mã PowerShell đã bị che giấu (obfuscated) theo Thứ tự ngẫu nhiên.
- Geofencing (Phân Tích Vị Trí Địa Lý): Loader kiểm tra vị trí địa lý của nạn nhân bằng cách gửi yêu cầu API đến một dịch vụ định vị, chẳng hạn như
hxxps://get.geojs.io/v1/ip/geo.json. Dựa trên quốc gia được xác định, loader sẽ phân phối XWorm RAT (đối với nạn nhân tại Mỹ) hoặc Rhadamanthys stealer (đối với nạn nhân ngoài Mỹ). - Thực Thi PowerShell Đa Lớp: Script PowerShell được triển khai sử dụng nhiều tầng che giấu và kỹ thuật chống phân tích (anti-analysis). Các bước ban đầu bao gồm giải mã chuỗi định dạng thập phân, ép buộc chính sách thực thi script thành “Unrestricted”, và chấm dứt các tiến trình có thể cản trở công cụ phân tích.
- Deobfuscation và Xử Lý Payload: Một thư mục tạm thời được tạo ra, nơi một script giải mã được ghi vào. Loader thực thi biến chứa script thay vì tệp trực tiếp. Script đã giải mã tiếp tục xử lý một biến khác chứa giai đoạn tiếp theo, chuyển đổi từ biểu diễn thập phân sang văn bản thực thi bằng một hàm tùy chỉnh.
- Tiêm Payload Cuối Cùng: Script cuối cùng trong chuỗi chuyển đổi các biến quan trọng chứa dữ liệu ngược thứ tự thành mảng byte thực thi. Loader độc hại được tải phản chiếu (reflective loading) vào bộ nhớ nhờ khả năng reflection của PowerShell, truy cập các hàm của loader mà không cần ghi ra đĩa. Script sau đó gọi động các phương thức đặc thù từ loader, xác định đường dẫn đến các tiện ích .NET hợp pháp, và kích hoạt phương thức cùng với payload XWorm cuối cùng.
Những Hệ Lụy Thực Tiễn
Các kỹ thuật được sử dụng trong cơ chế này đặt ra nhiều thách thức lớn đối với các chuyên gia bảo mật và quản trị hệ thống:
- Kỹ Thuật Lẩn Tránh: Việc sử dụng geofencing kết hợp với che giấu đa lớp gây khó khăn trong việc phát hiện và phân tích malware. Kỹ thuật thực thi không lưu tệp (fileless execution) thông qua PowerShell reflection giúp malware né tránh các phương pháp phát hiện truyền thống dựa trên dấu hiệu từ đĩa cứng.
- Chiến Lược Của Tin Tặc: Việc tập trung vào geofencing cho phép kẻ tấn công nhắm mục tiêu vào các khu vực cụ thể, tối đa hóa tác động nhưng đồng thời giảm thiểu nguy cơ bị phát hiện bởi các nhà nghiên cứu ở những khu vực không nằm trong tầm ngắm.
- Chỉ Số Thỏa Hiệp (IOCs): Dưới đây là các mã HASH liên quan để hỗ trợ phát hiện và điều tra:
- Loader script hash:
70c52b2dac24420378afbb59e1f4705c8b0e521523280e29f48140a98fdd07bb - XWorm sample hash:
b5b4359ee5a79b06b388cebabb9fa2faabd4d920a10563947a0e5c5f94056bda
- Loader script hash:
Tác Động Tiềm Tàng
- Truy Cập Từ Xa và Đánh Cắp Dữ Liệu: XWorm RAT, nhắm vào nạn nhân tại Mỹ, có khả năng truy cập từ xa, chiếm quyền bảng nhớ tạm (clipboard hijacking), và thực hiện các cuộc tấn công DDoS. Trong khi đó, Rhadamanthys stealer, nhắm vào nạn nhân ngoài Mỹ, sử dụng AI để trích xuất cụm từ khóa ví tiền điện tử (cryptocurrency seed phrases) từ hình ảnh và nhắm vào các ví tiền điện tử.
- Biện Pháp Phòng Thủ: Các tổ chức cần theo dõi chặt chẽ hoạt động PowerShell, hạn chế các tiêm tiến trình (process injection) không cần thiết, và phân tích lưu lượng mạng bất thường liên quan đến các dịch vụ định vị API. Việc áp dụng các biện pháp bảo mật mạnh mẽ như cập nhật phần mềm thường xuyên, sử dụng công cụ chống malware, và giám sát nhật ký hệ thống cũng là điều cần thiết để giảm thiểu nguy cơ từ các cuộc tấn công này.
Kết Luận
Cơ chế triển khai payload XWorm thông qua JScript loader độc hại thể hiện mức độ tinh vi cao trong các phương thức phân phối malware hiện đại. Sự kết hợp giữa geofencing, che giấu mã đa lớp, và kỹ thuật thực thi không lưu tệp khiến việc phát hiện và phân tích trở nên cực kỳ khó khăn. Hiểu rõ các chiến thuật này là yếu tố then chốt để các chuyên gia bảo mật xây dựng chiến lược phòng thủ hiệu quả, bảo vệ hệ thống trước những mối đe dọa ngày càng phức tạp.
