Duy Linh
Writer
Các nhà nghiên cứu an ninh mạng vừa phát hiện một trình tải phần mềm độc hại tinh vi mới đang được rao bán trên các diễn đàn web đen. Công cụ này được tiếp thị như một giải pháp thương mại chuyên né tránh các hệ thống bảo vệ điểm cuối hiện đại, bao gồm Windows Defender và nhiều nền tảng chống virus phổ biến khác.
Phần mềm mã hóa tăng cường trí tuệ nhân tạo mới được quảng cáo là có khả năng vượt qua Windows Defender.
Sản phẩm mang tên InternalWhisper x ImpactSolutions, do một nhóm tin tặc tự xưng là ImpactSolutions quảng bá. Người bán tuyên bố công cụ sử dụng cơ chế biến đổi dựa trên trí tuệ nhân tạo, cho phép viết lại phần lớn cấu trúc mã mỗi lần biên dịch, tạo ra các tệp nhị phân hoàn toàn khác nhau và không có chữ ký nhận diện.
Theo quảng cáo, các bản dựng tạo ra có thể duy trì trạng thái “Hoàn toàn không thể phát hiện” (Fully Undetectable – FUD) trong thời gian dài, vượt qua các cơ chế phát hiện dựa trên chữ ký truyền thống của phần mềm bảo mật.
Kẻ vận hành dịch vụ tuyên bố 99% mã nguồn được viết lại trong mỗi lần biên dịch, đảm bảo không có hai tệp đầu ra nào giống nhau về cấu trúc hay chữ ký. Cách tiếp cận này được thiết kế để đánh bại phân tích tĩnh và các hệ thống phát hiện dựa trên mẫu, vốn phụ thuộc vào việc nhận diện các đoạn mã độc hại đã biết.
Dịch vụ được cung cấp thông qua bảng điều khiển web tự động, cho phép khách hàng tạo các bản dựng chỉ trong vài giây. Về mặt kỹ thuật, phần mềm mã hóa này hỗ trợ mã nhị phân gốc (C/C++) và .NET, hoạt động trên Windows x86 và x64. Kích thước tệp được quảng cáo chỉ khoảng 100–200KB, giúp mã độc dễ dàng hòa lẫn với các thành phần phần mềm hợp pháp.
Các tính năng kỹ thuật chính được nhóm này quảng bá bao gồm:
Ngoài các chức năng chính, dịch vụ còn tích hợp nhiều biện pháp nhằm đảm bảo an ninh vận hành, như kiểm tra chống phân tích để phát hiện môi trường sandbox hoặc máy ảo, giả mạo siêu dữ liệu, bắt chước tệp hợp pháp và sao chép chứng chỉ.
Việc thương mại hóa các kỹ thuật né tránh nâng cao như vậy đã hạ thấp đáng kể rào cản kỹ thuật, cho phép cả những tác nhân ít kỹ năng cũng có thể triển khai mã độc đủ sức vượt qua hệ thống phòng thủ doanh nghiệp.
Trước mối đe dọa từ các công cụ biến hình do AI điều khiển, các nhóm an ninh mạng được khuyến cáo tập trung vào phát hiện hành vi, chẳng hạn như giám sát thực thi mã không được ánh xạ, các mô hình phân bổ bộ nhớ bất thường và chuỗi hành vi khả nghi, thay vì chỉ dựa vào chữ ký tĩnh vốn ngày càng kém hiệu quả. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-enhanced-crypter/
Phần mềm mã hóa tăng cường trí tuệ nhân tạo mới được quảng cáo là có khả năng vượt qua Windows Defender.
Sản phẩm mang tên InternalWhisper x ImpactSolutions, do một nhóm tin tặc tự xưng là ImpactSolutions quảng bá. Người bán tuyên bố công cụ sử dụng cơ chế biến đổi dựa trên trí tuệ nhân tạo, cho phép viết lại phần lớn cấu trúc mã mỗi lần biên dịch, tạo ra các tệp nhị phân hoàn toàn khác nhau và không có chữ ký nhận diện.
Theo quảng cáo, các bản dựng tạo ra có thể duy trì trạng thái “Hoàn toàn không thể phát hiện” (Fully Undetectable – FUD) trong thời gian dài, vượt qua các cơ chế phát hiện dựa trên chữ ký truyền thống của phần mềm bảo mật.
Công cụ biến đổi AI và khả năng né tránh phân tích
Trọng tâm của InternalWhisper nằm ở cái gọi là “công cụ AI biến hình”. Không giống các trình đóng gói đa hình truyền thống vốn chỉ mã hóa dữ liệu và thay đổi khóa giải mã, công cụ này được mô tả là tái cấu trúc logic mã nguồn bên dưới, trong khi vẫn giữ nguyên chức năng ban đầu.Kẻ vận hành dịch vụ tuyên bố 99% mã nguồn được viết lại trong mỗi lần biên dịch, đảm bảo không có hai tệp đầu ra nào giống nhau về cấu trúc hay chữ ký. Cách tiếp cận này được thiết kế để đánh bại phân tích tĩnh và các hệ thống phát hiện dựa trên mẫu, vốn phụ thuộc vào việc nhận diện các đoạn mã độc hại đã biết.
Dịch vụ được cung cấp thông qua bảng điều khiển web tự động, cho phép khách hàng tạo các bản dựng chỉ trong vài giây. Về mặt kỹ thuật, phần mềm mã hóa này hỗ trợ mã nhị phân gốc (C/C++) và .NET, hoạt động trên Windows x86 và x64. Kích thước tệp được quảng cáo chỉ khoảng 100–200KB, giúp mã độc dễ dàng hòa lẫn với các thành phần phần mềm hợp pháp.
Các tính năng kỹ thuật chính được nhóm này quảng bá bao gồm:
- Mã hóa trong quá trình thực thi: Dữ liệu được bảo vệ bằng AES-256, chuỗi ký tự được mã hóa khi biên dịch và chỉ giải mã khi chạy, nhằm cản trở phân tích ngược.
- Kỹ thuật tải ẩn: Hỗ trợ nhiều phương thức tải, bao gồm gọi syscall trực tiếp để né các hook chế độ người dùng của EDR, cùng kỹ thuật làm rỗng tiến trình nhằm chèn mã độc vào các tiến trình hợp pháp đang bị tạm dừng.
- Nạp mã độc bằng tệp được Microsoft ký điện tử: Công cụ cho phép lợi dụng sự tin cậy của hệ điều hành đối với các chứng chỉ hợp lệ, từ đó thực thi mã độc chưa được ký điện tử thông qua các tệp thực thi hợp pháp.
Thương mại hóa né tránh và thách thức cho đội ngũ phòng thủ
InternalWhisper được định vị rõ ràng là một sản phẩm Malware-as-a-Service (MaaS) chuyên nghiệp. Nhóm ImpactSolutions cung cấp gói dịch vụ theo cấp bậc, quảng bá hỗ trợ khách hàng và nhấn mạnh khả năng sử dụng dễ dàng, cho thấy định hướng thu hút và giữ chân các đối tác tội phạm mạng.Ngoài các chức năng chính, dịch vụ còn tích hợp nhiều biện pháp nhằm đảm bảo an ninh vận hành, như kiểm tra chống phân tích để phát hiện môi trường sandbox hoặc máy ảo, giả mạo siêu dữ liệu, bắt chước tệp hợp pháp và sao chép chứng chỉ.
Việc thương mại hóa các kỹ thuật né tránh nâng cao như vậy đã hạ thấp đáng kể rào cản kỹ thuật, cho phép cả những tác nhân ít kỹ năng cũng có thể triển khai mã độc đủ sức vượt qua hệ thống phòng thủ doanh nghiệp.
Trước mối đe dọa từ các công cụ biến hình do AI điều khiển, các nhóm an ninh mạng được khuyến cáo tập trung vào phát hiện hành vi, chẳng hạn như giám sát thực thi mã không được ánh xạ, các mô hình phân bổ bộ nhớ bất thường và chuỗi hành vi khả nghi, thay vì chỉ dựa vào chữ ký tĩnh vốn ngày càng kém hiệu quả. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-enhanced-crypter/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
