Trong những ngày gần đây, các chuyên gia an ninh mạng đã phát hiện một biến thể mới cực kỳ nguy hiểm của mã độc Interlock RAT - một loại phần mềm gián điệp cho phép tin tặc điều khiển máy tính của nạn nhân từ xa. Đáng chú ý, biến thể mới này được viết bằng ngôn ngữ PHP và sử dụng nhiều thủ thuật tinh vi để đánh lừa người dùng và vượt qua các hệ thống bảo mật truyền thống.
Interlock RAT là một công cụ điều khiển từ xa (Remote Access Trojan) được nhóm tin tặc Interlock phát triển, từng được biết đến trong nhiều chiến dịch tấn công trước đây. Nó cho phép kẻ xấu kiểm soát hoàn toàn máy tính của nạn nhân: Theo dõi, lấy cắp dữ liệu, cài đặt thêm phần mềm độc hại, thậm chí mở đường cho các cuộc tấn công ransomware.
Biến thể mới nhất, được phát hiện trong tháng 7/2025, đã chuyển từ ngôn ngữ JavaScript sang PHP - điều này giúp mã độc trở nên khó bị phát hiện hơn trong môi trường Windows, nơi PHP ít khi được sử dụng làm ngôn ngữ lập trình ứng dụng.
Interlock RAT là một công cụ điều khiển từ xa (Remote Access Trojan) được nhóm tin tặc Interlock phát triển, từng được biết đến trong nhiều chiến dịch tấn công trước đây. Nó cho phép kẻ xấu kiểm soát hoàn toàn máy tính của nạn nhân: Theo dõi, lấy cắp dữ liệu, cài đặt thêm phần mềm độc hại, thậm chí mở đường cho các cuộc tấn công ransomware.
Biến thể mới nhất, được phát hiện trong tháng 7/2025, đã chuyển từ ngôn ngữ JavaScript sang PHP - điều này giúp mã độc trở nên khó bị phát hiện hơn trong môi trường Windows, nơi PHP ít khi được sử dụng làm ngôn ngữ lập trình ứng dụng.
Cách tấn công của biến thể Interlock RAT mới rất tinh vi nhưng lại đánh vào thói quen bất cẩn của người dùng. Tin tặc đầu tiên sẽ chèn một đoạn mã độc vào các trang web bị xâm nhập, đặc biệt là các trang WordPress sử dụng plugin nổi tiếng như GravityForms. Khi người dùng truy cập trang web, họ sẽ bị chuyển hướng đến một trang giả mạo CAPTCHA – một kiểu kiểm tra thường thấy để xác nhận người dùng không phải robot.
Tại đây, nạn nhân được yêu cầu sao chép và dán một đoạn mã vào hộp thoại “Run” (chạy lệnh) trên máy tính Windows để "xác minh danh tính". Tuy nhiên, thực chất đoạn mã đó là một lệnh PowerShell sẽ tải xuống và cài đặt mã độc vào máy.
Sau khi được cài đặt, Interlock RAT bắt đầu quá trình thu thập dữ liệu: Thông tin hệ điều hành, người dùng, các chương trình đang chạy, các dịch vụ trên hệ thống, mạng nội bộ… Toàn bộ thông tin được gửi ngược về máy chủ điều khiển (C2 server) do tin tặc kiểm soát.
Để che giấu hoạt động này, RAT sử dụng một công cụ mang tên Cloudflare Tunnel - cho phép kết nối ra ngoài Internet mà không bị các hệ thống tường lửa nội bộ chặn lại. Nếu cách này thất bại, nó sẽ tự động chuyển sang sử dụng địa chỉ IP dự phòng đã được lập trình sẵn.
RAT còn có khả năng tự duy trì trên máy, thực thi thêm các đoạn mã, thâm nhập vào các máy tính khác trong cùng mạng, mở đường cho các cuộc tấn công tiếp theo như đánh cắp tài khoản, phá hoại hệ thống hoặc mã hóa dữ liệu để đòi tiền chuộc.
Điều khiến biến thể PHP của Interlock RAT trở nên đặc biệt nguy hiểm là:
Tại đây, nạn nhân được yêu cầu sao chép và dán một đoạn mã vào hộp thoại “Run” (chạy lệnh) trên máy tính Windows để "xác minh danh tính". Tuy nhiên, thực chất đoạn mã đó là một lệnh PowerShell sẽ tải xuống và cài đặt mã độc vào máy.
Sau khi được cài đặt, Interlock RAT bắt đầu quá trình thu thập dữ liệu: Thông tin hệ điều hành, người dùng, các chương trình đang chạy, các dịch vụ trên hệ thống, mạng nội bộ… Toàn bộ thông tin được gửi ngược về máy chủ điều khiển (C2 server) do tin tặc kiểm soát.
Để che giấu hoạt động này, RAT sử dụng một công cụ mang tên Cloudflare Tunnel - cho phép kết nối ra ngoài Internet mà không bị các hệ thống tường lửa nội bộ chặn lại. Nếu cách này thất bại, nó sẽ tự động chuyển sang sử dụng địa chỉ IP dự phòng đã được lập trình sẵn.
RAT còn có khả năng tự duy trì trên máy, thực thi thêm các đoạn mã, thâm nhập vào các máy tính khác trong cùng mạng, mở đường cho các cuộc tấn công tiếp theo như đánh cắp tài khoản, phá hoại hệ thống hoặc mã hóa dữ liệu để đòi tiền chuộc.
Điều khiến biến thể PHP của Interlock RAT trở nên đặc biệt nguy hiểm là:
- Khó phát hiện: Vì sử dụng PHP – một ngôn ngữ hiếm gặp trên Windows – nhiều phần mềm diệt virus truyền thống không nhận ra dấu hiệu đáng ngờ.
- Tấn công trên diện rộng: Tin tặc không nhắm vào mục tiêu cụ thể mà khai thác hàng loạt website bị lộ lỗ hổng để phát tán mã độc.
- Lừa đảo tinh vi: Sử dụng hình thức CAPTCHA giả rất giống thật, đánh lừa ngay cả người dùng có kinh nghiệm.
- Ẩn mình hiệu quả: Dùng công nghệ Cloudflare Tunnel giúp mã độc giao tiếp ra bên ngoài mà không bị ngăn chặn.
Bất kỳ ai sử dụng máy tính đều có thể trở thành mục tiêu. Vì vậy, hãy tuyệt đối:
- Không sao chép hoặc dán bất kỳ lệnh nào vào PowerShell hoặc hộp thoại Run nếu bạn không thực sự hiểu rõ chúng làm gì, đặc biệt nếu được yêu cầu bởi một trang web hoặc cửa sổ lạ.
- Triển khai đào tạo chống FileFix/ClickFix và giả mạo lệnh.
- Chặn Win+R, dán chuỗi lệnh tự động.
- Giới hạn RDP, bật MFA, minimal privilege.
- Cập nhật IOC, áp rule phát hiện Cloudflare Tunnel liên quan tới trycloudflare.com và fallback IP.
Đối với doanh nghiệp và quản trị viên hệ thống:
- Kiểm tra các tệp tin khả nghi trong thư mục AppData\Roaming, đặc biệt là những tệp tên php.exe hoặc .cfg.
- Chặn truy cập tới dịch vụ trycloudflare.com nếu không sử dụng.
- Giám sát hoạt động mạng nội bộ và các đăng nhập từ xa qua RDP.
- Cập nhật các plugin WordPress, đặc biệt là GravityForms, để vá các lỗ hổng bảo mật.
- Áp dụng nguyên tắc "zero trust" – không tin tưởng bất kỳ tệp tin hoặc kết nối nào nếu chưa được xác minh.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
