MinhSec
Writer
Nếu bạn bất ngờ nhận được email lạ với tiêu đề như “yêu cầu chi tiết thanh toán” hay “tài liệu ngân hàng đã ký”, tốt nhất hãy xóa ngay lập tức. Một cuộc điều tra mới từ Fortinet thông qua nhóm nghiên cứu FortiGuard Labs cho thấy tin tặc đang lợi dụng các chủ đề kinh doanh quen thuộc này để phát tán mã độc XWorm vào máy tính Windows.
XWorm là một Trojan truy cập từ xa (RAT), cho phép hacker kiểm soát hoàn toàn hệ thống bị nhiễm. Dù xuất hiện từ năm 2022, biến thể mới XWorm 7.2 đang trở nên nguy hiểm hơn khi được rao bán công khai trên các chợ Telegram vào cuối năm 2025 và đầu 2026, khiến việc tấn công trở nên dễ dàng hơn bao giờ hết.
Khi người dùng mở file Excel đính kèm, nó sẽ khai thác lỗ hổng bảo mật cũ của Office (CVE-2018-0802). Sau đó, một chuỗi lệnh ẩn được kích hoạt: tập lệnh HTA chạy PowerShell để tải về một ảnh JPEG trông hoàn toàn vô hại. Tuy nhiên, phần mã độc thực sự lại được giấu bên trong bức ảnh này, giữa các chuỗi dữ liệu được mã hóa.
Điều đáng sợ là quá trình lây nhiễm diễn ra âm thầm, người dùng gần như không nhận thấy bất kỳ dấu hiệu bất thường nào trên máy tính của mình.
Sau khi xâm nhập, XWorm kết nối tới máy chủ điều khiển và sử dụng mã hóa AES để che giấu dữ liệu đánh cắp. Nhờ cấu trúc mô-đun, tin tặc có thể bổ sung hơn 50 plugin để mở rộng khả năng: đánh cắp mật khẩu, cookie trình duyệt, khóa Wi-Fi, theo dõi qua webcam, ghi lại bàn phím, thậm chí triển khai ransomware hoặc tấn công DDoS.
Các chuyên gia bảo mật cảnh báo rằng điểm nguy hiểm không nằm ở công nghệ mới, mà ở cách kết hợp khéo léo những kỹ thuật cũ nhưng hiệu quả. Ông Shane Barney từ Keeper Security cho rằng chiến dịch này “gây ấn tượng bởi sự bình thường”, khi toàn bộ chuỗi tấn công được xây dựng từ những thành phần quen thuộc nhưng lắp ghép cực kỳ tinh vi.
Trong khi đó, Jason Soroko của Sectigo nhấn mạnh rằng việc ẩn mã độc bên trong một tiến trình Windows hợp pháp giúp nó “hòa nhập” hoàn hảo, khiến việc phát hiện và loại bỏ trở nên vô cùng khó khăn. Ông cũng nhận định rằng gọi XWorm đơn thuần là RAT có thể chưa phản ánh hết mức độ nguy hiểm, bởi nó đã phát triển thành một nền tảng tấn công mô-đun hoàn chỉnh.
Các chuyên gia khuyến nghị biện pháp phòng vệ hiệu quả nhất vẫn là cập nhật phần mềm thường xuyên, không mở tệp đính kèm từ email lạ và luôn kiểm tra kỹ các yêu cầu liên quan đến thanh toán hoặc chứng từ ngân hàng. Một cú nhấp chuột bất cẩn có thể đủ để hacker kiểm soát toàn bộ máy tính của bạn.
XWorm là một Trojan truy cập từ xa (RAT), cho phép hacker kiểm soát hoàn toàn hệ thống bị nhiễm. Dù xuất hiện từ năm 2022, biến thể mới XWorm 7.2 đang trở nên nguy hiểm hơn khi được rao bán công khai trên các chợ Telegram vào cuối năm 2025 và đầu 2026, khiến việc tấn công trở nên dễ dàng hơn bao giờ hết.
Cách tin tặc giăng bẫy qua email tưởng chừng “bình thường”
Theo các nhà nghiên cứu, chiến dịch này tận dụng tâm lý vội vàng trong công việc để lừa nạn nhân mở tệp đính kèm. Những email giả mạo thường được ngụy trang dưới dạng câu hỏi kinh doanh, xem xét thanh toán đơn hàng hoặc chứng từ ngân hàng cho lô hàng.Khi người dùng mở file Excel đính kèm, nó sẽ khai thác lỗ hổng bảo mật cũ của Office (CVE-2018-0802). Sau đó, một chuỗi lệnh ẩn được kích hoạt: tập lệnh HTA chạy PowerShell để tải về một ảnh JPEG trông hoàn toàn vô hại. Tuy nhiên, phần mã độc thực sự lại được giấu bên trong bức ảnh này, giữa các chuỗi dữ liệu được mã hóa.
Điều đáng sợ là quá trình lây nhiễm diễn ra âm thầm, người dùng gần như không nhận thấy bất kỳ dấu hiệu bất thường nào trên máy tính của mình.
Vì sao XWorm được đánh giá là cực kỳ nguy hiểm?
Thủ đoạn tinh vi nhất của chiến dịch là kỹ thuật “process hollowing”. Mã độc sẽ khởi chạy một tiến trình Windows hợp pháp như Msbuild.exe, tạm dừng nó rồi thay thế mã bên trong bằng chính XWorm. Với phần mềm diệt virus, tiến trình này trông hoàn toàn hợp lệ, nhưng thực chất hacker đã chiếm quyền điều khiển máy từ xa.Sau khi xâm nhập, XWorm kết nối tới máy chủ điều khiển và sử dụng mã hóa AES để che giấu dữ liệu đánh cắp. Nhờ cấu trúc mô-đun, tin tặc có thể bổ sung hơn 50 plugin để mở rộng khả năng: đánh cắp mật khẩu, cookie trình duyệt, khóa Wi-Fi, theo dõi qua webcam, ghi lại bàn phím, thậm chí triển khai ransomware hoặc tấn công DDoS.
Các chuyên gia bảo mật cảnh báo rằng điểm nguy hiểm không nằm ở công nghệ mới, mà ở cách kết hợp khéo léo những kỹ thuật cũ nhưng hiệu quả. Ông Shane Barney từ Keeper Security cho rằng chiến dịch này “gây ấn tượng bởi sự bình thường”, khi toàn bộ chuỗi tấn công được xây dựng từ những thành phần quen thuộc nhưng lắp ghép cực kỳ tinh vi.
Trong khi đó, Jason Soroko của Sectigo nhấn mạnh rằng việc ẩn mã độc bên trong một tiến trình Windows hợp pháp giúp nó “hòa nhập” hoàn hảo, khiến việc phát hiện và loại bỏ trở nên vô cùng khó khăn. Ông cũng nhận định rằng gọi XWorm đơn thuần là RAT có thể chưa phản ánh hết mức độ nguy hiểm, bởi nó đã phát triển thành một nền tảng tấn công mô-đun hoàn chỉnh.
Các chuyên gia khuyến nghị biện pháp phòng vệ hiệu quả nhất vẫn là cập nhật phần mềm thường xuyên, không mở tệp đính kèm từ email lạ và luôn kiểm tra kỹ các yêu cầu liên quan đến thanh toán hoặc chứng từ ngân hàng. Một cú nhấp chuột bất cẩn có thể đủ để hacker kiểm soát toàn bộ máy tính của bạn.
Nguồn: hackread
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: