Mã độc thường không nhắm mục tiêu vào GPU của bạn, nhưng giờ đây, những kẻ tấn công đang lợi dụng lỗ hổng này. Các nhà nghiên cứu bảo mật tại Zscaler (thông qua PCWorld) đã phát hiện một họ mã độc mới có tên CoffeeLoader. Loại mã độc này sử dụng bộ xử lý đồ họa (GPU) thay vì bộ xử lý trung tâm (CPU) để thực thi mã độc hại, đồng thời mạo danh tiện ích Armoury Crate phổ biến trên các máy tính, laptop và thiết bị cầm tay Asus như ROG Ally X.
CoffeeLoader Giả Dạng Armoury Crate Và Tấn Công Qua GPU
CoffeeLoader là một công cụ tải mã độc (malware loader) mà kẻ tấn công dùng để đưa các payload độc hại vào hệ thống mục tiêu. Cách thức hoạt động cơ bản của nó như sau: Người dùng tải xuống một phiên bản Armoury Crate bị nhiễm, trong đó một số tệp đã được thay thế bằng shellcode tự giải mã. Bộ xử lý đồ họa (GPU) của bạn sẽ giải mã dữ liệu này bằng thư viện OpenCL – một giao diện lập trình ứng dụng (API) hoạt động trên hầu hết các GPU hiện đại. Sau khi giải mã, mã độc cuối cùng sẽ được chuyển đến CPU để thực thi.
Đây là một vấn đề nghiêm trọng bởi vì mã độc có thể né tránh các phần mềm diệt virus truyền thống. Hầu hết các giải pháp bảo mật tập trung giám sát và phát hiện payload độc hại trên CPU và bộ nhớ hệ thống. CoffeeLoader lại sửa đổi và giải mã dữ liệu ngay trên GPU, khiến việc phát hiện trở nên khó khăn hơn. Ngoài ra, CoffeeLoader còn tận dụng một số lỗ hổng và kỹ thuật khác để trốn tránh sự phát hiện.
Các Kỹ Thuật Né Tránh Tinh Vi Của CoffeeLoader
Một kỹ thuật chính mà CoffeeLoader sử dụng là “sleep obfuscation” (che giấu trạng thái ngủ). Kỹ thuật này mã hóa dữ liệu và mã của mã độc khi nó ở trạng thái không hoạt động (ngủ), do đó không thể bị phát hiện trong bộ nhớ trừ khi mã đang được thực thi tích cực. Bên cạnh đó, mã độc này còn sử dụng “call stack spoofing” (giả mạo ngăn xếp cuộc gọi) để che giấu quá trình thực thi của mình, làm tăng khả năng né tránh các công cụ phân tích. Cuối cùng, CoffeeLoader lợi dụng “Windows fibers”, một tính năng của Windows cho phép một ứng dụng chuyển đổi tác vụ trên một luồng duy nhất mà không cần sử dụng bộ lập lịch của hệ điều hành. CoffeeLoader sử dụng fibers để liên tục chuyển đổi giữa trạng thái ngủ và hoạt động, càng làm phức tạp hóa việc phát hiện.
Trang web lừa đảo cung cấp phần mềm Armoury Crate bị nhiễm CoffeeLoader
Với nhiều lớp né tránh phức tạp như vậy, bạn gần như sẽ không nhận ra mình đã tải xuống một payload độc hại với CoffeeLoader cho đến khi nó đã được thực thi trên hệ thống. Đáng lo ngại là đã có ít nhất một trang web đáng ngờ cung cấp phần mềm Armoury Crate xuất hiện trên trang đầu kết quả tìm kiếm Google.
Luôn Tải Phần Mềm Từ Nguồn Chính Thức Để Bảo Vệ Thiết Bị
Cách tốt nhất và an toàn nhất để giữ an toàn cho bản thân và thiết bị của bạn là chỉ cài đặt Armoury Crate trực tiếp từ trang web chính thức của Asus (rog.asus.com). Ứng dụng này đã có tính năng tự động cập nhật tích hợp, vì vậy bạn không cần phải cài đặt lại thủ công sau khi nó đã có trên hệ thống. Quan trọng hơn, hãy luôn nhớ rằng các trang web lưu trữ các bản tải xuống độc hại có thể xuất hiện trong kết quả tìm kiếm của Google trong một khoảng thời gian ngắn, đặc biệt khi chúng được thiết kế để né tránh sự phát hiện. Tốt nhất là luôn truy cập trực tiếp nguồn gốc khi tải bất kỳ phần mềm nào, bất kể đó có phải là Armoury Crate hay không.
