Khi XWorm V6 trở lại: Mối đe dọa RAT “tái sinh” khuấy đảo an ninh mạng toàn cầu

[WhiteHat Team]

Các chuyên gia nghiên cứu an ninh mạng ghi nhận những đợt triển khai đầu tiên của XWorm V6.0, đánh dấu sự trở lại bất ngờ của một trong những họ mã độc điều khiển từ xa (RAT - Remote Access Trojan) nguy hiểm nhất từng xuất hiện trên Internet.

​

XWorm vốn là một bộ công cụ tấn công đa năng từng bị triệt hạ vào cuối năm 2023, nổi tiếng vì khả năng tùy biến mạnh và dễ tích hợp vào các chiến dịch tấn công. Phiên bản mới V6.0, theo các nhà nghiên cứu, được tái thiết kế để vượt qua các phần mềm diệt virus hiện nay và tăng cường khả năng ẩn mình lâu dài trong hệ thống nạn nhân.

Công cụ này hiện đang được phát tán thông qua các chiến dịch phishing (lừa đảo qua email), trong đó một tập tin JavaScript độc hại được ngụy trang tinh vi sẽ tự động kích hoạt các đoạn mã PowerShell, tải xuống tệp DLL cấy ghép vào tiến trình Windows hợp pháp.

Theo báo cáo của các nhóm nghiên cứu, XWorm V6 giữ nguyên cấu trúc lõi của các phiên bản trước, nhưng tinh chỉnh sâu ở phần injector (bộ phận chịu trách nhiệm “tiêm” mã độc vào tiến trình hợp pháp của Windows).

Cụ thể, mã độc lợi dụng RegSvcs.exe, một chương trình có sẵn trong hệ thống, để chạy các đoạn mã của XWorm dưới danh nghĩa tiến trình tin cậy. Sau khi PowerShell tải và kích hoạt injector, công cụ này sẽ:

• Cấp phát bộ nhớ trong tiến trình hợp pháp.
• Ghi đè phần mã độc đã được mã hóa vào đó.
• Giải mã bằng khóa AES sinh ngẫu nhiên.
• Kích hoạt một luồng (thread) mới, khiến mã độc chạy ngầm mà không bị nghi ngờ.

Bằng việc “ẩn mình” trong tiến trình hợp pháp, XWorm V6 vượt qua hầu hết các cơ chế bảo vệ như AMSI (Antimalware Scan Interface), khiến phần mềm bảo mật khó phát hiện hành vi bất thường. Sau khi xâm nhập, XWorm V6 sẽ kết nối tới máy chủ điều khiển (C2) qua cổng TCP 4411, sử dụng địa chỉ IP 94.159.113.64 và một khóa mã hóa mới (“<666666>”) để bảo mật dữ liệu trao đổi.

Một trong những yếu tố khiến XWorm đáng sợ chính là kiến trúc module (plugin), cho phép kẻ tấn công tùy chỉnh chức năng theo mục tiêu mà không cần cài lại toàn bộ mã độc. Mỗi máy nạn nhân sẽ được định danh duy nhất dựa trên thông tin phần cứng, tên người dùng và hệ điều hành, giúp kẻ tấn công quản lý hàng nghìn thiết bị dễ dàng. Các module có thể được tải về “theo yêu cầu” và lưu trữ ngay trong Windows Registry thay vì trên ổ đĩa, giúp né tránh hoàn toàn các công cụ giám sát file.

Kho module của XWorm được ước tính có hơn 35 plugin, bao gồm:

• Shell.dll: cho phép điều khiển dòng lệnh từ xa.
• FileManager.dll: truy cập, xóa, mã hóa hoặc giải mã toàn bộ hệ thống tệp.
• RemoteDesktop.dll: bật chia sẻ màn hình, mô phỏng chuột và bàn phím.
• Stealer modules: đánh cắp mật khẩu trình duyệt, tài khoản FTP, ứng dụng chat.
• Ransomware.dll: triển khai chiến dịch mã hóa dữ liệu, hiển thị ghi chú đòi tiền chuộc và thay hình nền.

Với cơ chế này, XWorm V6 vừa là công cụ gián điệp, vừa là mã độc tống tiền, vừa là nền tảng tấn công đa chức năng → là một “trạm điều khiển” toàn diện cho tội phạm mạng.

​

Điểm khiến XWorm V6 thực sự nguy hiểm nằm ở chiến lược duy trì sự tồn tại (persistence), đảm bảo rằng dù người dùng gỡ bỏ, cài lại, hay thậm chí khôi phục máy về cài đặt gốc, mã độc vẫn quay trở lại.

Mã độc có thể:

• Cài đặt script chạy mỗi khi người dùng đăng nhập (logon script).
• Thêm khóa khởi động tự động vào Windows Registry.
• Sử dụng InstallUtil loop – một vòng kiểm tra liên tục để tự cài lại nếu bị xóa.
• Và đặc biệt, ghi tệp cấu hình vào khu vực khôi phục của Windows (C:\Recovery\OEM), giúp tự cài lại sau khi người dùng reset máy về trạng thái ban đầu.

Chiêu thức này từng xuất hiện trong các mã độc khét tiếng như Pulsar RAT và WEEVILPROXY, nhưng XWorm V6 đã cải tiến để hoạt động ổn định hơn, gần như bất khả xóa với người dùng phổ thông. Ngay sau khi bị phát hiện, số lượng mẫu XWorm V6 trên VirusTotal tăng đột biến, cho thấy các nhóm tấn công trên toàn cầu đã nhanh chóng sử dụng lại công cụ này.

Vì XWorm có mã nguồn rò rỉ từ trước, các bản sửa đổi và bản sao chép đang lan nhanh trong các diễn đàn ngầm, khiến phạm vi ảnh hưởng trải dài từ cá nhân đến doanh nghiệp và cơ quan nhà nước.

Đối với người dùng, hậu quả có thể bao gồm:

• Mất toàn bộ dữ liệu cá nhân, tài liệu, ảnh, tài khoản đăng nhập.
• Máy tính bị kiểm soát từ xa, sử dụng để tấn công các hệ thống khác.
• Bị tống tiền hoặc trở thành mắt xích trong mạng botnet.

Các chuyên gia cảnh báo rằng RAT thế hệ mới như XWorm V6 không thể bị ngăn chặn chỉ bằng phần mềm diệt virus truyền thống. Do đó, người dùng và doanh nghiệp cần triển khai phòng thủ đa tầng:
1. Đối với cá nhân:

• Cảnh giác với email, file đính kèm và link lạ (đặc biệt là tệp JavaScript hoặc PowerShell).
• Cập nhật hệ điều hành, trình duyệt, phần mềm bảo mật thường xuyên.
• Sử dụng xác thực hai lớp (2FA) cho tài khoản quan trọng.
• Sao lưu dữ liệu định kỳ, tránh mất toàn bộ khi bị mã hóa.

2. Đối với doanh nghiệp:

• Kích hoạt hệ thống giám sát EDR/XDR để phát hiện hành vi tiêm mã vào tiến trình hợp pháp.
• Theo dõi ghi chép Registry, tiến trình con bất thường, kết nối C2 lạ.
• Huấn luyện nhân viên nhận biết các dấu hiệu tấn công phishing có yếu tố AI.
• Áp dụng mô hình Zero Trust và giới hạn quyền truy cập nội bộ.

Sự tái xuất của XWorm V6.0 là lời nhắc nhở rằng mã độc cũ chưa bao giờ biến mất, chúng chỉ tiến hóa thông minh hơn. Với khả năng tự ẩn, tái sinh và hoạt động linh hoạt, XWorm V6 đã trở thành đại diện cho làn sóng RAT thế hệ mới, nơi AI, tự động hóa và mã hóa kết hợp mạnh mẽ với nhau, để vượt qua các biện pháp phòng thủ truyền thống.

WhiteHat​