Microsoft cảnh báo GigaWiper: Mã độc cửa hậu có thể xóa sạch dữ liệu và điều khiển máy tính từ xa

MinhSec
MinhSec
Phản hồi: 0
  • Thread starter Thread starter MinhSec
  • Ngày gửi Ngày gửi

MinhSec

Writer
MinhSec

MinhSec Đã xác thực

Microsoft vừa công bố thông tin chi tiết về GigaWiper, một loại phần mềm độc hại mới nhắm vào hệ điều hành Windows với khả năng điều khiển máy tính từ xa, mã hóa dữ liệu và phá hủy toàn bộ ổ cứng. Theo hãng, đây là một trong những mối đe dọa nguy hiểm khi kết hợp cả chức năng cửa hậu (backdoor) và công cụ xóa dữ liệu trong cùng một mã độc.

Âm thầm kiểm soát máy tính trước khi phá hủy dữ liệu​

Các chuyên gia của Microsoft cho biết GigaWiper lần đầu được phát hiện trong những cuộc tấn công phá hoại từ tháng 10/2025. Mã độc được xây dựng bằng cách kết hợp mã nguồn từ nhiều họ malware từng xuất hiện trước đây, giúp kẻ tấn công vừa duy trì quyền truy cập, vừa có thể triển khai nhiều hình thức phá hoại khác nhau.
1783927205519.png

Sau khi xâm nhập, GigaWiper tạo một tác vụ theo lịch có tên "OneDrive Update" để ngụy trang, tự khởi chạy khi Windows khởi động và lặp lại mỗi phút nhằm duy trì kết nối với máy chủ điều khiển. Thông qua đó, tin tặc có thể thực thi hàng loạt lệnh từ xa như chạy PowerShell, chỉnh sửa Registry, quản lý tiến trình và dịch vụ, chụp màn hình, thu thập thông tin hệ thống, xóa nhật ký sự kiện Windows, tải tệp lên máy chủ hoặc điều khiển trực tiếp máy tính bằng chuột và bàn phím tương tự phần mềm điều khiển từ xa VNC.

Đáng chú ý, mã độc còn có khả năng tự thay đổi các quy tắc của Windows Firewall để mở đường cho các kết nối từ xa mà người dùng khó phát hiện.

Có thể xóa sạch ổ cứng, mã hóa dữ liệu không thể khôi phục​

Theo Microsoft, GigaWiper hỗ trợ nhiều chế độ phá hoại khác nhau. Kẻ tấn công có thể ra lệnh xóa bảng phân vùng, ghi đè toàn bộ dữ liệu trên ổ cứng vật lý hoặc chỉ nhắm vào phân vùng cài đặt Windows trước khi buộc máy tính khởi động lại.

Ngoài ra, GigaWiper còn tích hợp chức năng mã hóa tệp với phần mở rộng .candy. Tuy nhiên, khác với ransomware truyền thống, khóa mã hóa được tạo ngẫu nhiên và không được lưu lại, đồng nghĩa với việc dữ liệu gần như không thể phục hồi và cũng không có bất kỳ yêu cầu đòi tiền chuộc nào. Microsoft nhận định đây thực chất là một công cụ phá hoại được ngụy trang dưới dạng phần mềm tống tiền.

Quá trình phân tích cũng cho thấy GigaWiper có nhiều điểm tương đồng với ransomware Crucio và công cụ xóa dữ liệu FlockWiper, nhưng đã được nâng cấp và viết lại bằng ngôn ngữ Go để hoạt động hiệu quả hơn.

Microsoft cho biết Microsoft Defender đã có khả năng phát hiện GigaWiper và khuyến nghị người dùng bật tính năng chống giả mạo, bảo vệ dựa trên đám mây cùng hệ thống phát hiện và phản ứng điểm cuối (EDR). Đồng thời, các tổ chức nên giám sát những tác vụ theo lịch bất thường, hạn chế kết nối đến hạ tầng điều khiển đã biết và tăng cường đào tạo an ninh mạng để giảm nguy cơ trở thành mục tiêu của các cuộc tấn công tương tự.
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
http://textlink.linktop.vn/?adslk=aHR0cHM6Ly92bnJldmlldy52bi90aHJlYWRzL21pY3Jvc29mdC1jYW5oLWJhby1naWdhd2lwZXItbWEtZG9jLWN1YS1oYXUtY28tdGhlLXhvYS1zYWNoLWR1LWxpZXUtdmEtZGlldS1raGllbi1tYXktdGluaC10dS14YS44NzQxMC8=
Top