Hãng bảo mật Kaspersky vừa phát đi cảnh báo khẩn cấp về một chiến dịch mã độc quy mô lớn đang lây lan mạnh mẽ qua ứng dụng nhắn tin WhatsApp.
Thay vì dùng các đường link lạ hay phần mềm lậu, kẻ đứng sau chiến dịch này đã sử dụng một chiêu trò cực kỳ tinh vi: Hack vào tài khoản WhatsApp của nạn nhân, sau đó dùng chính tài khoản này để gửi các tệp tin chứa mã độc cho bạn bè, người thân trong danh bạ mà không kèm theo bất kỳ lời nhắn nào. Chính yếu tố "tin tưởng người quen" đã khiến hàng loạt người dùng sập bẫy.
Thay vì dùng các đường link lạ hay phần mềm lậu, kẻ đứng sau chiến dịch này đã sử dụng một chiêu trò cực kỳ tinh vi: Hack vào tài khoản WhatsApp của nạn nhân, sau đó dùng chính tài khoản này để gửi các tệp tin chứa mã độc cho bạn bè, người thân trong danh bạ mà không kèm theo bất kỳ lời nhắn nào. Chính yếu tố "tin tưởng người quen" đã khiến hàng loạt người dùng sập bẫy.
Chiêu trò "thao túng tâm lý" bằng file tài liệu tài chính
Theo phân tích từ các chuyên gia bảo mật, đối tượng mục tiêu mà nhóm tin tặc này nhắm tới chủ yếu là người dùng WhatsApp Desktop (bản cài trên máy tính) và WhatsApp Web (bản chạy trên trình duyệt).
Để kích thích sự tò mò và đánh lừa người nhận, hacker đặt tên cho các tệp tin đính kèm dưới dạng các tài liệu công việc hoặc tài chính hết sức nghiêm túc bằng nhiều ngôn ngữ khác nhau. Tại Đông Nam Á, các tệp tin này thường có tên như: Financial Reports.vbs, Debt confirmation.vbs, Statement of Debt.vbs, hay Outstanding Payment List.vbs...
Điểm mấu chốt nằm ở đuôi mở rộng ".vbs" (VBScript) của tệp tin. Đối với người dùng phổ thông, họ chỉ nhìn thấy cụm từ "Báo cáo tài chính" và lầm tưởng đây là một file tài liệu văn phòng thông thường. Nhưng thực tế, đây lại là một đoạn mã kịch bản có thể kích hoạt lệnh chạy tự động trên hệ điều hành Windows.
Để kích thích sự tò mò và đánh lừa người nhận, hacker đặt tên cho các tệp tin đính kèm dưới dạng các tài liệu công việc hoặc tài chính hết sức nghiêm túc bằng nhiều ngôn ngữ khác nhau. Tại Đông Nam Á, các tệp tin này thường có tên như: Financial Reports.vbs, Debt confirmation.vbs, Statement of Debt.vbs, hay Outstanding Payment List.vbs...
Điểm mấu chốt nằm ở đuôi mở rộng ".vbs" (VBScript) của tệp tin. Đối với người dùng phổ thông, họ chỉ nhìn thấy cụm từ "Báo cáo tài chính" và lầm tưởng đây là một file tài liệu văn phòng thông thường. Nhưng thực tế, đây lại là một đoạn mã kịch bản có thể kích hoạt lệnh chạy tự động trên hệ điều hành Windows.
"Kịch bản" chiếm quyền điều khiển máy tính từ xa
Khi nạn nhân tải xuống và bấm mở file, một chuỗi lây nhiễm nhiều giai đoạn sẽ lập tức được kích hoạt ngầm mà người dùng không hề hay biết:
- Vượt mặt hệ thống bảo vệ: Đoạn mã độc VBScript được lập trình rất tinh vi. Bên trong mã nguồn, hacker thậm chí còn chèn thêm các đoạn chú thích bằng chữ Trung Quốc giả lập hệ thống cập nhật của Microsoft (Windows Update) hòng qua mặt các phần mềm quét virus.
- Cài cắm phần mềm gián điệp: Sau khi xâm nhập thành công, mã độc này không phá hủy dữ liệu ngay mà âm thầm tải về và cài đặt một phần mềm quản lý từ xa hợp pháp (RMM - Remote Monitoring and Management).
- Chiếm quyền kiểm soát: Bằng việc biến một phần mềm quản lý hợp pháp thành công cụ tấn công, hacker có thể dễ dàng theo dõi màn hình, đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và toàn quyền điều khiển máy tính của nạn nhân từ xa mà không bị hệ điều hành phát hiện và ngăn chặn.
Việt Nam nằm trong tầm ngắm
Theo dữ liệu giám sát của Kaspersky, chiến dịch tấn công này hiện vẫn đang diễn ra rất tích cực trên phạm vi toàn cầu. Danh sách các quốc gia và vùng lãnh thổ ghi nhận số lượng nạn nhân lớn bao gồm Malaysia (nơi bị ảnh hưởng nặng nề nhất), Brazil, Ấn Độ, Singapore, Australia, Tây Ban Nha và Việt Nam.
Ảnh Internet
Hiện tại, các chuyên gia vẫn chưa thể khẳng định chính xác bằng cách nào hacker có thể chiếm quyền điều khiển các tài khoản WhatsApp ban đầu để biến chúng thành "máy phát tán" mã độc. Tuy nhiên, việc virus lây lan thông qua danh sách bạn bè thân quen đang khiến tốc độ phát tán của chiến dịch này tăng mạnh.
Khuyến cáo từ chuyên gia để bảo vệ bản thân
Trước diễn biến phức tạp của chiến dịch mã độc này, các chuyên gia an ninh mạng khuyến cáo người dùng tại Việt Nam cần thực hiện ngay các biện pháp sau:
- Tuyệt đối không mở các file có đuôi lạ: Đặc biệt là các file có đuôi .vbs, .exe, .bat, .scr được gửi qua các ứng dụng nhắn tin, ngay cả khi người gửi là bạn bè hoặc đồng nghiệp thân thiết.
- Xác thực lại thông tin: Nếu nhận được một file tài liệu bất ngờ từ người quen mà không có nội dung trò chuyện đi kèm, hãy gọi điện hoặc nhắn tin qua kênh khác để xác nhận xem có đúng họ gửi hay không.
- Cập nhật phần mềm: Luôn bật tính năng cập nhật tự động cho hệ điều hành Windows và cài đặt một phần mềm diệt virus uy tín trên máy tính để kịp thời ngăn chặn các đoạn mã kịch bản độc hại chạy ngầm.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
