Mã độc thường nhắm vào CPU và bộ nhớ hệ thống, nhưng kẻ tấn công đang khai thác một lỗ hổng mới. CoffeeLoader, một họ phần mềm độc hại mới được phát hiện bởi các nhà nghiên cứu tại Zscaler, sử dụng bộ xử lý đồ họa (GPU) thay vì CPU để thực thi mã độc hại. Điều đáng lo ngại hơn là CoffeeLoader còn giả mạo tiện ích Armoury Crate phổ biến trên các máy tính, laptop và card đồ họa của Asus, bao gồm cả thiết bị cầm tay như ROG Ally X.
CoffeeLoader: Mã độc tinh vi giả dạng Armoury Crate nhắm vào GPU của bạn
CoffeeLoader được thiết kế để trông giống như Armoury Crate, một ứng dụng tiện ích hợp pháp của Asus. Với tên gọi CoffeeLoader, đây là một chương trình tải mã độc (malware loader) mà kẻ tấn công có thể sử dụng để truyền tải bất kỳ payload độc hại nào. Quá trình lây nhiễm bắt đầu khi người dùng tải xuống một phiên bản Armoury Crate đã bị nhiễm độc, trong đó một số tệp đã được thay thế bằng mã shellcode tự giải mã.
Cách CoffeeLoader lợi dụng GPU để lẩn tránh phát hiện
Điểm đặc biệt của CoffeeLoader là cách nó khai thác GPU. Bộ xử lý đồ họa của bạn sẽ giải mã dữ liệu bằng cách sử dụng thư viện OpenCL, tương thích với hầu hết mọi GPU hiện nay. Sau khi được giải mã, mã độc cuối cùng sẽ được chuyển đến CPU để thực thi. Đây là một vấn đề nghiêm trọng vì mã độc có thể tránh được các phương pháp phát hiện truyền thống bằng cách sửa đổi và giải mã trên GPU, thay vì sử dụng CPU và bộ nhớ hệ thống – nơi hầu hết các phần mềm diệt virus sẽ bắt được payload độc hại.
CoffeeLoader còn lợi dụng một số lỗ hổng khác để lẩn tránh phát hiện:
- Làm mờ trạng thái ngủ (Sleep Obfuscation): Dữ liệu và mã của mã độc được mã hóa khi nó ở trạng thái ngủ, khiến phần mềm diệt virus không thể phát hiện trong bộ nhớ trừ khi mã đang thực thi tích cực.
- Giả mạo ngăn xếp cuộc gọi (Call Stack Spoofing): Kỹ thuật này che giấu quá trình thực thi của mã độc, làm tăng thêm khả năng lẩn tránh.
- Sử dụng Windows Fibers: CoffeeLoader sử dụng Windows Fibers, một tính năng cho phép ứng dụng chuyển đổi tác vụ trên một luồng duy nhất mà không cần đến bộ lập lịch của Windows. Mã độc lợi dụng Fibers để liên tục chuyển đổi vào và ra khỏi trạng thái ngủ.
Trang web giả mạo cung cấp bản tải xuống ứng dụng Armoury Crate của ASUS không chính thống, tiềm ẩn nguy cơ chứa mã độc CoffeeLoader.
Với nhiều lớp lẩn tránh như vậy, rất có thể bạn sẽ không nhận ra mình đã tải xuống một payload độc hại chứa CoffeeLoader cho đến khi nó đã được thực thi trên hệ thống. Đã có ít nhất một bản tải xuống Armoury Crate đáng ngờ xuất hiện trên trang đầu tiên của kết quả tìm kiếm Google.
Bảo vệ thiết bị của bạn: Chỉ tải phần mềm từ nguồn chính thống
Cách tốt nhất để giữ an toàn cho bản thân là chỉ cài đặt Armoury Crate trực tiếp từ trang web chính thức của Asus. Ứng dụng này có tính năng tự động cập nhật, vì vậy bạn không cần phải cài đặt lại sau khi nó đã có trên hệ thống của mình. Quan trọng hơn, hãy luôn nhớ rằng các trang web lưu trữ các bản tải xuống độc hại có thể xuất hiện trong kết quả tìm kiếm Google trong một thời gian ngắn, đặc biệt là khi chúng được thiết kế để tránh bị phát hiện. Luôn truy cập trực tiếp nguồn gốc khi tải xuống phần mềm, bất kể đó là Armoury Crate hay bất kỳ ứng dụng nào khác.
Tóm lại, CoffeeLoader là một mối đe dọa malware GPU nguy hiểm với khả năng lẩn tránh phát hiện tinh vi, giả mạo các tiện ích phổ biến. Để bảo vệ máy tính của bạn khỏi mã độc này và các mối nguy hại tương tự, hãy luôn cảnh giác và chỉ tải phần mềm từ các nguồn chính thống, đáng tin cậy. Điều này là chìa khóa để giữ an toàn cho dữ liệu và hệ thống của bạn trong môi trường số ngày càng phức tạp. Hãy chia sẻ thông tin hữu ích này để cộng đồng người dùng Việt Nam cùng nâng cao ý thức bảo mật!
