Một chiến dịch phát tán mã độc mới đang khiến giới an ninh mạng toàn cầu đặc biệt lo ngại khi lợi dụng WhatsApp để lây nhiễm máy tính Windows. Điều đáng sợ là nạn nhân không nhận được những tin nhắn lừa đảo dài dòng hay các đường link đáng ngờ. Thay vào đó, tin tặc sử dụng chính tài khoản của người quen, đồng nghiệp hoặc đối tác để gửi một tệp đính kèm tưởng chừng vô hại.
Theo cảnh báo mới nhất từ Kaspersky, chiến dịch này đã ghi nhận nạn nhân tại nhiều quốc gia, trong đó Malaysia chiếm phần lớn các trường hợp được phát hiện. Nhóm đối tượng đặc biệt nhắm tới người thường xuyên làm việc với khách hàng nước ngoài như doanh nghiệp xuất khẩu, thương mại điện tử xuyên biên giới và du học sinh.
Theo cảnh báo mới nhất từ Kaspersky, chiến dịch này đã ghi nhận nạn nhân tại nhiều quốc gia, trong đó Malaysia chiếm phần lớn các trường hợp được phát hiện. Nhóm đối tượng đặc biệt nhắm tới người thường xuyên làm việc với khách hàng nước ngoài như doanh nghiệp xuất khẩu, thương mại điện tử xuyên biên giới và du học sinh.
Không cần nhắn một lời, chỉ gửi một tệp tin
Khác với các chiến dịch lừa đảo truyền thống, tin tặc lần này gần như không cần tương tác với nạn nhân. Sau khi chiếm được tài khoản WhatsApp của một người dùng, chúng bắt đầu gửi hàng loạt tệp đính kèm đến danh bạ của nạn nhân. Những tệp này thường mang các tên rất quen thuộc như:
- Báo cáo tài chính
- Bảng sao kê tài khoản
- Danh sách công nợ
- Hồ sơ thanh toán
Điểm nguy hiểm nằm ở chỗ người nhận nhìn thấy người gửi là khách hàng, đồng nghiệp hoặc bạn bè quen biết nên rất dễ mở tệp mà không hề nghi ngờ. Để tăng tỷ lệ thành công, các tệp còn được đặt tên bằng nhiều ngôn ngữ khác nhau như tiếng Anh, tiếng Trung, tiếng Pháp, tiếng Đức, tiếng Bồ Đào Nha hay tiếng Malaysia, phù hợp với từng khu vực mà nạn nhân sinh sống.
Chỉ cần nhấp đúp, máy tính có thể bị chiếm quyền
Theo phân tích của Kaspersky, các tệp được gửi thực chất là VBScript (.vbs) – một loại tập lệnh mà Windows có thể thực thi.
Ngay khi người dùng mở tệp, chuỗi tấn công sẽ diễn ra âm thầm theo nhiều bước:
Ngay khi người dùng mở tệp, chuỗi tấn công sẽ diễn ra âm thầm theo nhiều bước:
- Kích hoạt Windows Script Host (WScript.exe) để chạy mã độc.
- Sử dụng các công cụ hợp pháp có sẵn trên Windows như PowerShell, curl hoặc certutil nhằm tải thêm thành phần độc hại từ máy chủ của tin tặc.
- Tìm cách hạ mức cảnh báo của User Account Control (UAC) để giảm khả năng người dùng phát hiện.
- Cài đặt trái phép một phần mềm quản trị từ xa hợp pháp nhằm giúp tin tặc điều khiển máy tính.
Điểm đáng chú ý là phần lớn các hành động đều sử dụng công cụ hợp pháp của Windows thay vì khai thác lỗ hổng hệ điều hành. Điều này khiến nhiều giải pháp bảo mật truyền thống khó phát hiện hơn.
Biến phần mềm hợp pháp thành công cụ điều khiển từ xa
Ở giai đoạn cuối, mã độc cài đặt ManageEngine Endpoint Central – một phần mềm quản lý thiết bị vốn được nhiều doanh nghiệp sử dụng để hỗ trợ quản trị hệ thống.
Bản thân phần mềm này không phải mã độc. Tuy nhiên, khi bị cài đặt trái phép, nó có thể trở thành "cánh cửa hậu" để tin tặc:
Bản thân phần mềm này không phải mã độc. Tuy nhiên, khi bị cài đặt trái phép, nó có thể trở thành "cánh cửa hậu" để tin tặc:
- Điều khiển máy tính từ xa.
- Theo dõi hoạt động của người dùng.
- Cài thêm phần mềm độc hại.
- Đánh cắp tài liệu và thông tin đăng nhập.
- Triển khai các cuộc tấn công tiếp theo trong mạng nội bộ.
Việc lợi dụng phần mềm hợp pháp cũng khiến hoạt động của tin tặc khó bị phát hiện hơn vì nhiều giải pháp bảo mật sẽ coi đây là ứng dụng đáng tin cậy.
Mã độc được ngụy trang rất tinh vi
Tập lệnh VBScript được làm rối (obfuscation) với nhiều đoạn mã vô nghĩa, tên biến ngẫu nhiên và chuỗi ký tự bị chia nhỏ nhằm gây khó khăn cho quá trình phân tích.
Ảnh: Internet
Trong giới an ninh mạng, việc cố tình cài cắm dấu vết giả nhằm đánh lạc hướng điều tra là kỹ thuật khá phổ biến. Vì vậy, ngôn ngữ xuất hiện trong mã nguồn không thể được xem là bằng chứng xác định danh tính của thủ phạm.
Ai cần đặc biệt cảnh giác?
Chiến dịch này chủ yếu nhắm tới người dùng WhatsApp trên máy tính Windows, đặc biệt là:
- Doanh nghiệp xuất nhập khẩu.
- Người làm thương mại điện tử xuyên biên giới.
- Nhân viên thường xuyên trao đổi tài liệu với khách hàng quốc tế.
- Du học sinh và người làm việc ở nước ngoài.
- Bất kỳ ai sử dụng WhatsApp Desktop hoặc WhatsApp Web để nhận tệp từ đối tác.
Làm gì để tránh trở thành nạn nhân?
Các chuyên gia khuyến cáo người dùng nên:
- Tuyệt đối không mở các tệp có đuôi ".vbs", ".exe" hoặc ".scr" được gửi qua ứng dụng nhắn tin, kể cả khi người gửi là người quen.
- Nếu nhận được tệp bất thường từ bạn bè hoặc đối tác, hãy xác minh bằng một kênh khác như gọi điện hoặc nhắn qua ứng dụng khác trước khi mở.
- Luôn cập nhật Windows và phần mềm bảo mật lên phiên bản mới nhất.
- Với doanh nghiệp, cần theo dõi các máy tính xuất hiện bất thường của ManageEngine Endpoint Central hoặc có dấu hiệu thay đổi cấu hình UAC ngoài quy trình quản trị.
Niềm tin đang trở thành "vũ khí" mới của tin tặc
Điều đáng lo ngại nhất trong chiến dịch lần này không nằm ở kỹ thuật quá phức tạp, mà ở việc tin tặc lợi dụng sự tin tưởng giữa con người với nhau.
Khi một tài khoản WhatsApp bị chiếm quyền, nó không chỉ làm lộ dữ liệu của chủ tài khoản mà còn trở thành công cụ phát tán mã độc tới toàn bộ danh bạ. Chỉ vì thấy người gửi là bạn bè, đồng nghiệp hay khách hàng quen thuộc, nhiều người sẽ mất cảnh giác và vô tình mở đường cho tin tặc xâm nhập.
Trong bối cảnh các ứng dụng nhắn tin ngày càng trở thành kênh trao đổi công việc quan trọng, nguyên tắc "đừng vội tin chỉ vì người gửi là người quen" đang trở thành một trong những lớp phòng vệ hiệu quả nhất trước các chiến dịch tấn công mạng hiện nay.
Khi một tài khoản WhatsApp bị chiếm quyền, nó không chỉ làm lộ dữ liệu của chủ tài khoản mà còn trở thành công cụ phát tán mã độc tới toàn bộ danh bạ. Chỉ vì thấy người gửi là bạn bè, đồng nghiệp hay khách hàng quen thuộc, nhiều người sẽ mất cảnh giác và vô tình mở đường cho tin tặc xâm nhập.
Trong bối cảnh các ứng dụng nhắn tin ngày càng trở thành kênh trao đổi công việc quan trọng, nguyên tắc "đừng vội tin chỉ vì người gửi là người quen" đang trở thành một trong những lớp phòng vệ hiệu quả nhất trước các chiến dịch tấn công mạng hiện nay.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
