Duy Linh
Writer
Trong thời đại mà người dùng phải cảnh giác với các trang web mờ ám và việc băm tệp qua nền tảng như VirusTotal, một làn sóng mã độc mới đang thách thức các biện pháp phòng thủ truyền thống.
Những mối đe dọa này giả dạng thành các ứng dụng máy tính để bàn hợp pháp như trình lưu công thức nấu ăn, công cụ tăng cường hình ảnh bằng AI hay trợ lý ảo, nhưng lại nhúng sẵn tính năng độc hại.
Ví dụ, ứng dụng JustAskJacky với nhân vật hoạt hình cung cấp mẹo vặt gia đình bí mật lên lịch các tác vụ để thực thi mã từ máy chủ chỉ huy và điều khiển (C2) bằng hàm eval trên tải trọng đã giải mã. Ứng dụng TamperedChef thì biến khoảng trắng trong công thức tải về thành lệnh có thể thực thi, mở đường cho cơ chế cửa sau.
Ứng dụng máy tính JustAskJacky có các mẹo cho mọi loại chủ đề
Một công cụ tìm kiếm hình ảnh AI khác hứa hẹn cải thiện chất lượng ảnh nhưng lại cấp cho kẻ tấn công quyền truy cập hệ thống trái phép đổi lấy dịch vụ “miễn phí”.
Các ứng dụng này không bị phát hiện trên VirusTotal suốt nhiều tuần, cho thấy trojan ngày nay tích hợp logic độc hại trực tiếp vào ứng dụng thay vì ghép kèm phần mềm độc hại riêng lẻ.
Trong 10–15 năm gần đây, dạng trojan này hiếm gặp, nhưng sự phổ biến của Mô hình ngôn ngữ lớn (LLM) đã tạo điều kiện cho sự hồi sinh. LLM giúp kẻ tấn công xây dựng trang web chuyên nghiệp, nội dung không lỗi, cơ sở dữ liệu do AI quản lý, khiến người dùng khó nhận diện. Chúng còn hỗ trợ tạo mã nguồn hoàn toàn mới, tránh bị quét tĩnh trên các nền tảng như VirusTotal vốn thiếu phân tích hành vi.
Theo G Data, điểm mạnh của LLM là khả năng né tránh phát hiện tĩnh. Trước đây, kẻ tấn công phải làm rối mã để vượt qua quét tự động, nhưng nay LLM có thể sinh mã rõ ràng, chú thích chi tiết, kéo dài thời gian “ẩn mình” tới sáu tuần. Một dấu hiệu khác cho thấy LLM tham gia là các bình luận trong mã quá đầy đủ, hữu ích cho kỹ sư đảo ngược – điều hiếm thấy ở mã độc thủ công.
Xu hướng này cho thấy chữ ký tĩnh là không đủ. Biện pháp hiệu quả cần giám sát hành vi, phân tích động và chữ ký theo ngữ cảnh. Ví dụ, giải pháp bảo mật có thể phát hiện việc JustAskJacky lên lịch tác vụ bất thường hoặc TamperedChef thực thi lệnh khoảng trắng khi chạy.
Đối với người dùng, thói quen cũ như tránh tải phần mềm vi phạm bản quyền và kiểm tra tệp băm vẫn cần thiết, nhưng chưa đủ. Khi trojan ngày càng hòa nhập sâu vào công cụ hằng ngày, việc nâng cấp khả năng phát hiện theo hướng hành vi trở thành yếu tố sống còn trong an ninh mạng.
Đọc chi tiết tại đây: https://gbhackers.com/the-ai-powered-trojan-horse-returns/
Những mối đe dọa này giả dạng thành các ứng dụng máy tính để bàn hợp pháp như trình lưu công thức nấu ăn, công cụ tăng cường hình ảnh bằng AI hay trợ lý ảo, nhưng lại nhúng sẵn tính năng độc hại.
Ví dụ, ứng dụng JustAskJacky với nhân vật hoạt hình cung cấp mẹo vặt gia đình bí mật lên lịch các tác vụ để thực thi mã từ máy chủ chỉ huy và điều khiển (C2) bằng hàm eval trên tải trọng đã giải mã. Ứng dụng TamperedChef thì biến khoảng trắng trong công thức tải về thành lệnh có thể thực thi, mở đường cho cơ chế cửa sau.
Ứng dụng máy tính JustAskJacky có các mẹo cho mọi loại chủ đề
Một công cụ tìm kiếm hình ảnh AI khác hứa hẹn cải thiện chất lượng ảnh nhưng lại cấp cho kẻ tấn công quyền truy cập hệ thống trái phép đổi lấy dịch vụ “miễn phí”.
Các ứng dụng này không bị phát hiện trên VirusTotal suốt nhiều tuần, cho thấy trojan ngày nay tích hợp logic độc hại trực tiếp vào ứng dụng thay vì ghép kèm phần mềm độc hại riêng lẻ.
Sự trở lại của trojan cổ điển và vai trò của LLM
Theo các nhà nghiên cứu, điểm khác biệt của những trojan “thực sự” này là chúng không thể tách rời khỏi ứng dụng gốc. Khác với phần mềm độc hại đa hình hay mã lừa đảo thường bị gắn nhãn nhầm là trojan, chúng nhúng mối đe dọa ngay trong chức năng chính, như lệnh ẩn trong dữ liệu công thức hay mã do C2 điều khiển.Trong 10–15 năm gần đây, dạng trojan này hiếm gặp, nhưng sự phổ biến của Mô hình ngôn ngữ lớn (LLM) đã tạo điều kiện cho sự hồi sinh. LLM giúp kẻ tấn công xây dựng trang web chuyên nghiệp, nội dung không lỗi, cơ sở dữ liệu do AI quản lý, khiến người dùng khó nhận diện. Chúng còn hỗ trợ tạo mã nguồn hoàn toàn mới, tránh bị quét tĩnh trên các nền tảng như VirusTotal vốn thiếu phân tích hành vi.
Theo G Data, điểm mạnh của LLM là khả năng né tránh phát hiện tĩnh. Trước đây, kẻ tấn công phải làm rối mã để vượt qua quét tự động, nhưng nay LLM có thể sinh mã rõ ràng, chú thích chi tiết, kéo dài thời gian “ẩn mình” tới sáu tuần. Một dấu hiệu khác cho thấy LLM tham gia là các bình luận trong mã quá đầy đủ, hữu ích cho kỹ sư đảo ngược – điều hiếm thấy ở mã độc thủ công.
Xu hướng này cho thấy chữ ký tĩnh là không đủ. Biện pháp hiệu quả cần giám sát hành vi, phân tích động và chữ ký theo ngữ cảnh. Ví dụ, giải pháp bảo mật có thể phát hiện việc JustAskJacky lên lịch tác vụ bất thường hoặc TamperedChef thực thi lệnh khoảng trắng khi chạy.
Đối với người dùng, thói quen cũ như tránh tải phần mềm vi phạm bản quyền và kiểm tra tệp băm vẫn cần thiết, nhưng chưa đủ. Khi trojan ngày càng hòa nhập sâu vào công cụ hằng ngày, việc nâng cấp khả năng phát hiện theo hướng hành vi trở thành yếu tố sống còn trong an ninh mạng.
Các chỉ số thỏa hiệp (IOC)
| Tên | Kiểu | Giá trị |
|---|---|---|
| JustAskJacky | Băm SHA-256 | 8ecd3c8c126be7128bf654456d171284f03e4f212c27e1b33f875b8907a7bc65 |
| TamperedChef | Băm SHA-256 | 1619bcad3785be31ac2fdee0ab91392d08d9392032246e42673c3cb8964d4cb7 |
| Tìm kiếm hình ảnh | URL | images-searcher.com |
| Công thức nấu ăn Lister | URL | recipelister.com |
| JustAskJacky | URL | justaskjacky.com |
| Tìm kiếm Pix | URL | pix-seek.com |
Đọc chi tiết tại đây: https://gbhackers.com/the-ai-powered-trojan-horse-returns/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview