Một chiến dịch mã độc mới vừa được các nhà nghiên cứu phát hiện, trong đó tin tặc có khả năng chiếm quyền phiên WhatsApp Web của người dùng, tự động gửi tin nhắn và tệp độc hại tới toàn bộ danh bạ WhatsApp, đồng thời triển khai trojan ngân hàng hoạt động trong bộ nhớ để đánh cắp thông tin tài chính. Điều đáng chú ý là người dùng không cần làm gì nhiều, chỉ cần mở một tệp VBS trong email, toàn bộ hệ thống đã có thể bị kiểm soát.
Chiến dịch được cho là thuộc nhóm Water-Saci, một tập hợp mã độc từng nhiều lần tấn công vào hệ thống ngân hàng và ví tiền điện tử. Tuy nhiên, vấn đề quan trọng không nằm ở quốc gia nào bị tấn công mà là ở kỹ thuật tấn công đang được triển khai: Tự động hóa, bí mật và dựa trên chính niềm tin giữa các mối quan hệ trong WhatsApp.
Cuộc tấn công này khởi đầu bằng những email lừa đảo có đính kèm tệp ZIP chứa script VBS được che giấu bằng kỹ thuật mã hóa và xáo trộn ký tự. Những đoạn mã xây dựng chuỗi bằng hàm Chr() kết hợp với phép XOR khiến các phần mềm bảo mật khó nhận diện được nội dung thực sự của script. Sau khi được kích hoạt, đoạn mã tải về thêm một gói cài đặt MSI và một file VBS khác. Những tệp này tiếp tục cài Python, Selenium và ChromeDriver, tạo ra một môi trường tự động hóa trình duyệt đầy đủ mà không cần bất kỳ thao tác thủ công nào từ phía nạn nhân. Tất cả đều nhằm mục tiêu duy nhất: truy cập phiên WhatsApp Web đang đăng nhập trên máy tính.
Điểm nguy hiểm nhất của chiến dịch nằm ở khả năng vượt qua bước xác thực QR Code – cơ chế vốn được thiết kế để đảm bảo chỉ chủ sở hữu thiết bị mới có thể đăng nhập WhatsApp Web. Mã độc trích xuất toàn bộ dữ liệu đăng nhập từ trình duyệt Chrome, bao gồm: Cookies, Local Storage, Session Storage và IndexedDB. Những dữ liệu này giúp Chrome “nhớ” rằng người dùng đã đăng nhập WhatsApp Web, vì vậy khi mã độc mở Chrome bằng Selenium và nạp lại dữ liệu phiên, tài khoản WhatsApp tự động đăng nhập mà không cần quét QR.
Điện thoại của người dùng không bị nhiễm mã độc, nhưng tài khoản WhatsApp trên điện thoại vẫn bị lợi dụng. Lý do là danh bạ WhatsApp nằm trên điện thoại và được đồng bộ sang WhatsApp Web. Vì vậy, khi phiên Web bị chiếm quyền, tin tặc có thể truy cập toàn bộ danh sách liên hệ vốn thuộc về điện thoại, dù máy tính mới là nơi bị nhiễm độc.
Sau khi chiếm quyền, tin tặc tiêm mã JavaScript vào trang WhatsApp Web và sử dụng các API nội bộ để lấy danh sách liên hệ và gửi tin nhắn tự động. Danh bạ bị truy cập chính là danh bạ tài khoản WhatsApp của người dùng, vốn được đồng bộ từ điện thoại nhưng hoạt động ngay trên phiên Web. Không chỉ gửi tin nhắn, mã độc còn có thể gửi kèm tệp ZIP chứa VBS độc hại, khiến người nhận rất dễ bị lừa bởi tin nhắn đến từ chính bạn bè, người thân hoặc đồng nghiệp. Nạn nhân vô tình trở thành mắt xích phát tán mã độc sang các liên hệ khác mà họ không hề hay biết.
Chiến dịch không chỉ dừng lại ở việc chiếm quyền WhatsApp. Thành phần thứ hai của mã độc, luôn âm thầm theo dõi các cửa sổ ngân hàng hoặc ví tiền điện tử đang mở trên máy tính nạn nhân. Khi phát hiện ứng dụng phù hợp, mã độc sẽ giải mã trojan ngân hàng và nạp trực tiếp vào bộ nhớ mà không tạo file trên ổ đĩa. Cách hoạt động này khiến nhiều giải pháp bảo mật khó phát hiện, bởi hầu hết các công cụ truyền thống dựa vào việc quét tệp trên ổ cứng. Điều đó đồng nghĩa với việc người dùng có thể bị đánh cắp tài khoản ngân hàng hoặc ví crypto mà không để lại dấu vết rõ ràng.
Những người sử dụng WhatsApp Web trên máy tính Windows là nhóm có nguy cơ lớn nhất. Điện thoại Android hoặc iPhone không bị nhiễm mã độc nhưng vẫn bị ảnh hưởng vì tài khoản WhatsApp bị lạm dụng để gửi tin nhắn hàng loạt. Trong môi trường doanh nghiệp, khi WhatsApp được sử dụng cho trao đổi công việc, nguy cơ lây nhiễm dây chuyền còn cao hơn nhiều. Một nhân viên bị nhiễm độc có thể khiến cả nhóm hoặc cả phòng ban bị cuốn vào vòng lặp tải xuống các tệp độc hại tiếp theo.
Dù chiến dịch hiện được ghi nhận tại Brazil nhưng phương thức tấn công hoàn toàn không phụ thuộc vào ngôn ngữ, địa lý hay nền tảng ngân hàng cụ thể. Bất kỳ người dùng WhatsApp Web nào trên Windows, tại bất kỳ quốc gia nào, đều có thể trở thành mục tiêu nếu nhận được email mồi nhử và mở tệp đính kèm.
Chiến dịch mới cho thấy WhatsApp Web, nếu bị khai thác đúng cách rất có thể sẽ trở thành cánh cửa dẫn tới các cuộc tấn công tài chính và lừa đảo mở rộng. Người dùng nên hạn chế mở các tệp ZIP, VBS hoặc MSI, kể cả khi chúng được gửi từ người quen. Việc đăng xuất định kỳ khỏi WhatsApp Web, cập nhật trình duyệt và hệ điều hành, cũng như theo dõi các tin nhắn bất thường được gửi đi từ tài khoản cá nhân là các biện pháp quan trọng để giảm thiểu rủi ro.
Trong bối cảnh các chiến dịch mã độc ngày càng tinh vi và dựa vào chính sự tin tưởng giữa con người với nhau, sự cảnh giác của mỗi người dùng vẫn là lớp phòng vệ quan trọng nhất.
Chiến dịch được cho là thuộc nhóm Water-Saci, một tập hợp mã độc từng nhiều lần tấn công vào hệ thống ngân hàng và ví tiền điện tử. Tuy nhiên, vấn đề quan trọng không nằm ở quốc gia nào bị tấn công mà là ở kỹ thuật tấn công đang được triển khai: Tự động hóa, bí mật và dựa trên chính niềm tin giữa các mối quan hệ trong WhatsApp.
Cuộc tấn công này khởi đầu bằng những email lừa đảo có đính kèm tệp ZIP chứa script VBS được che giấu bằng kỹ thuật mã hóa và xáo trộn ký tự. Những đoạn mã xây dựng chuỗi bằng hàm Chr() kết hợp với phép XOR khiến các phần mềm bảo mật khó nhận diện được nội dung thực sự của script. Sau khi được kích hoạt, đoạn mã tải về thêm một gói cài đặt MSI và một file VBS khác. Những tệp này tiếp tục cài Python, Selenium và ChromeDriver, tạo ra một môi trường tự động hóa trình duyệt đầy đủ mà không cần bất kỳ thao tác thủ công nào từ phía nạn nhân. Tất cả đều nhằm mục tiêu duy nhất: truy cập phiên WhatsApp Web đang đăng nhập trên máy tính.
Điểm nguy hiểm nhất của chiến dịch nằm ở khả năng vượt qua bước xác thực QR Code – cơ chế vốn được thiết kế để đảm bảo chỉ chủ sở hữu thiết bị mới có thể đăng nhập WhatsApp Web. Mã độc trích xuất toàn bộ dữ liệu đăng nhập từ trình duyệt Chrome, bao gồm: Cookies, Local Storage, Session Storage và IndexedDB. Những dữ liệu này giúp Chrome “nhớ” rằng người dùng đã đăng nhập WhatsApp Web, vì vậy khi mã độc mở Chrome bằng Selenium và nạp lại dữ liệu phiên, tài khoản WhatsApp tự động đăng nhập mà không cần quét QR.
Điện thoại của người dùng không bị nhiễm mã độc, nhưng tài khoản WhatsApp trên điện thoại vẫn bị lợi dụng. Lý do là danh bạ WhatsApp nằm trên điện thoại và được đồng bộ sang WhatsApp Web. Vì vậy, khi phiên Web bị chiếm quyền, tin tặc có thể truy cập toàn bộ danh sách liên hệ vốn thuộc về điện thoại, dù máy tính mới là nơi bị nhiễm độc.
Sau khi chiếm quyền, tin tặc tiêm mã JavaScript vào trang WhatsApp Web và sử dụng các API nội bộ để lấy danh sách liên hệ và gửi tin nhắn tự động. Danh bạ bị truy cập chính là danh bạ tài khoản WhatsApp của người dùng, vốn được đồng bộ từ điện thoại nhưng hoạt động ngay trên phiên Web. Không chỉ gửi tin nhắn, mã độc còn có thể gửi kèm tệp ZIP chứa VBS độc hại, khiến người nhận rất dễ bị lừa bởi tin nhắn đến từ chính bạn bè, người thân hoặc đồng nghiệp. Nạn nhân vô tình trở thành mắt xích phát tán mã độc sang các liên hệ khác mà họ không hề hay biết.
Chiến dịch không chỉ dừng lại ở việc chiếm quyền WhatsApp. Thành phần thứ hai của mã độc, luôn âm thầm theo dõi các cửa sổ ngân hàng hoặc ví tiền điện tử đang mở trên máy tính nạn nhân. Khi phát hiện ứng dụng phù hợp, mã độc sẽ giải mã trojan ngân hàng và nạp trực tiếp vào bộ nhớ mà không tạo file trên ổ đĩa. Cách hoạt động này khiến nhiều giải pháp bảo mật khó phát hiện, bởi hầu hết các công cụ truyền thống dựa vào việc quét tệp trên ổ cứng. Điều đó đồng nghĩa với việc người dùng có thể bị đánh cắp tài khoản ngân hàng hoặc ví crypto mà không để lại dấu vết rõ ràng.
Những người sử dụng WhatsApp Web trên máy tính Windows là nhóm có nguy cơ lớn nhất. Điện thoại Android hoặc iPhone không bị nhiễm mã độc nhưng vẫn bị ảnh hưởng vì tài khoản WhatsApp bị lạm dụng để gửi tin nhắn hàng loạt. Trong môi trường doanh nghiệp, khi WhatsApp được sử dụng cho trao đổi công việc, nguy cơ lây nhiễm dây chuyền còn cao hơn nhiều. Một nhân viên bị nhiễm độc có thể khiến cả nhóm hoặc cả phòng ban bị cuốn vào vòng lặp tải xuống các tệp độc hại tiếp theo.
Dù chiến dịch hiện được ghi nhận tại Brazil nhưng phương thức tấn công hoàn toàn không phụ thuộc vào ngôn ngữ, địa lý hay nền tảng ngân hàng cụ thể. Bất kỳ người dùng WhatsApp Web nào trên Windows, tại bất kỳ quốc gia nào, đều có thể trở thành mục tiêu nếu nhận được email mồi nhử và mở tệp đính kèm.
Chiến dịch mới cho thấy WhatsApp Web, nếu bị khai thác đúng cách rất có thể sẽ trở thành cánh cửa dẫn tới các cuộc tấn công tài chính và lừa đảo mở rộng. Người dùng nên hạn chế mở các tệp ZIP, VBS hoặc MSI, kể cả khi chúng được gửi từ người quen. Việc đăng xuất định kỳ khỏi WhatsApp Web, cập nhật trình duyệt và hệ điều hành, cũng như theo dõi các tin nhắn bất thường được gửi đi từ tài khoản cá nhân là các biện pháp quan trọng để giảm thiểu rủi ro.
Trong bối cảnh các chiến dịch mã độc ngày càng tinh vi và dựa vào chính sự tin tưởng giữa con người với nhau, sự cảnh giác của mỗi người dùng vẫn là lớp phòng vệ quan trọng nhất.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
