MinhSec
Writer
Một chiến dịch lừa đảo qua email quy mô toàn cầu vừa được các nhà nghiên cứu an ninh mạng cảnh báo, khi tin tặc lợi dụng những thủ thuật rất quen thuộc để phát tán phần mềm tống tiền nguy hiểm. Theo Forcepoint X-Labs, chiến dịch này sử dụng mạng botnet Phorpiex một hệ thống đã tồn tại hơn một thập kỷ nhằm lây lan mã độc tống tiền có tên Global Group, đe dọa dữ liệu của hàng loạt người dùng Windows.
Điều đáng lo ngại là cuộc tấn công không dựa vào kỹ thuật quá phức tạp, mà khai thác thói quen chủ quan của người dùng khi mở email và tệp đính kèm tưởng như vô hại.
Do Windows mặc định ẩn phần mở rộng tệp, nhiều người chỉ nhìn thấy “Document.doc” và tin rằng đây là tài liệu Word thông thường. Trên thực tế, đó lại là tệp lối tắt Windows (.lnk). Khi người dùng nhấp vào, hệ thống sẽ âm thầm chạy các lệnh nền bằng kỹ thuật “Living off the Land”, lợi dụng chính các công cụ hợp pháp như PowerShell hay Command Prompt để tải và kích hoạt mã độc.
Sau đó, phần mềm độc hại được cài vào máy và ngụy trang trong các thư mục hệ thống với những cái tên trông rất “Windows” như windrv.exe, khiến người dùng gần như không phát hiện ra điều bất thường.
Khác với nhiều phần mềm tống tiền cần kết nối về máy chủ điều khiển để nhận khóa mã hóa, Global Group tự tạo khóa ngay trên máy nạn nhân. Điều này cho phép nó mã hóa dữ liệu ngay cả khi máy tính không kết nối Internet, đồng thời giúp né tránh nhiều hệ thống giám sát an ninh truyền thống.
Phần mềm tống tiền này sử dụng thuật toán mã hóa mạnh ChaCha20-Poly1305, khiến việc khôi phục dữ liệu gần như là bất khả thi nếu không có khóa giải mã từ tin tặc. Không dừng lại ở đó, Global Group còn chủ động xóa các bản sao lưu hệ thống, bao gồm Volume Shadow Copies cơ chế thường được dùng để khôi phục dữ liệu trên Windows.
Sau khi hoàn tất quá trình mã hóa, các tệp tin của nạn nhân sẽ bị đổi sang phần mở rộng lạ, hình nền máy tính bị thay thế bằng thông báo đòi tiền chuộc. Để xóa dấu vết, mã độc còn tự xóa các thành phần của chính nó khỏi ổ cứng sau vài giây, khiến công tác điều tra càng trở nên khó khăn.
Chiến dịch này cho thấy tin tặc không cần đến công nghệ quá cao siêu để gây thiệt hại lớn. Chỉ một email thuyết phục và một tệp lối tắt giả mạo cũng đủ để chiếm quyền kiểm soát máy tính. Cách phòng vệ hiệu quả nhất vẫn là cảnh giác: không mở email không rõ nguồn gốc, không nhấp vào tệp đính kèm đáng ngờ và luôn kiểm tra kỹ phần mở rộng của tập tin trước khi mở.
Điều đáng lo ngại là cuộc tấn công không dựa vào kỹ thuật quá phức tạp, mà khai thác thói quen chủ quan của người dùng khi mở email và tệp đính kèm tưởng như vô hại.
Cái bẫy email quen thuộc nhưng cực kỳ hiệu quả
Chiến dịch lừa đảo này đã âm thầm diễn ra trong suốt năm 2024 và 2025. Nạn nhân thường nhận được email có tiêu đề rất chung chung như “Tài liệu của bạn”, đủ để gây tò mò hoặc tạo cảm giác cấp bách. Bên trong email là một tệp đính kèm hoặc file nén Zip, với tên gọi đánh lừa như Document.doc.lnk.
Do Windows mặc định ẩn phần mở rộng tệp, nhiều người chỉ nhìn thấy “Document.doc” và tin rằng đây là tài liệu Word thông thường. Trên thực tế, đó lại là tệp lối tắt Windows (.lnk). Khi người dùng nhấp vào, hệ thống sẽ âm thầm chạy các lệnh nền bằng kỹ thuật “Living off the Land”, lợi dụng chính các công cụ hợp pháp như PowerShell hay Command Prompt để tải và kích hoạt mã độc.
Sau đó, phần mềm độc hại được cài vào máy và ngụy trang trong các thư mục hệ thống với những cái tên trông rất “Windows” như windrv.exe, khiến người dùng gần như không phát hiện ra điều bất thường.
Phần mềm tống tiền Global Group và chế độ “im lặng” nguy hiểm
Theo phân tích của Forcepoint X-Labs, mã độc cuối cùng được triển khai là Global Group phiên bản kế nhiệm của ransomware Mamona trước đây. Điểm nguy hiểm nhất của Global Group nằm ở chế độ hoạt động “im lặng”.Khác với nhiều phần mềm tống tiền cần kết nối về máy chủ điều khiển để nhận khóa mã hóa, Global Group tự tạo khóa ngay trên máy nạn nhân. Điều này cho phép nó mã hóa dữ liệu ngay cả khi máy tính không kết nối Internet, đồng thời giúp né tránh nhiều hệ thống giám sát an ninh truyền thống.
Phần mềm tống tiền này sử dụng thuật toán mã hóa mạnh ChaCha20-Poly1305, khiến việc khôi phục dữ liệu gần như là bất khả thi nếu không có khóa giải mã từ tin tặc. Không dừng lại ở đó, Global Group còn chủ động xóa các bản sao lưu hệ thống, bao gồm Volume Shadow Copies cơ chế thường được dùng để khôi phục dữ liệu trên Windows.
Sau khi hoàn tất quá trình mã hóa, các tệp tin của nạn nhân sẽ bị đổi sang phần mở rộng lạ, hình nền máy tính bị thay thế bằng thông báo đòi tiền chuộc. Để xóa dấu vết, mã độc còn tự xóa các thành phần của chính nó khỏi ổ cứng sau vài giây, khiến công tác điều tra càng trở nên khó khăn.
Chiến dịch này cho thấy tin tặc không cần đến công nghệ quá cao siêu để gây thiệt hại lớn. Chỉ một email thuyết phục và một tệp lối tắt giả mạo cũng đủ để chiếm quyền kiểm soát máy tính. Cách phòng vệ hiệu quả nhất vẫn là cảnh giác: không mở email không rõ nguồn gốc, không nhấp vào tệp đính kèm đáng ngờ và luôn kiểm tra kỹ phần mở rộng của tập tin trước khi mở.
Nguồn: hackread
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
