-
09/04/2020
-
115
-
1.147 bài viết
Chiến dịch mã độc giả mạo cơ quan Ukraine lan rộng, lan cả sang Việt Nam
Một chiến dịch tấn công mạng tinh vi vừa được phát hiện, trong đó tin tặc mạo danh cơ quan Ukraine để phát tán email lừa đảo. Điểm đặc biệt là kẻ tấn công không dùng file thực thi (.exe) quen thuộc, mà lợi dụng tệp ảnh SVG tưởng chừng vô hại để cài cắm mã độc. Chuỗi tấn công này cuối cùng dẫn đến việc cài đặt phần mềm độc hại Amatera Stealer và PureMiner - hai công cụ có khả năng đánh cắp thông tin và đào tiền điện tử trái phép.
Không dừng lại ở Ukraine, những chiến dịch tương tự có thể liên quan đến Việt Nam, cho thấy mối đe dọa này có phạm vi ảnh hưởng rộng và không loại trừ người dùng, doanh nghiệp tại Việt Nam.
Theo báo cáo từ các chuyên gia, các email lừa đảo được ngụy trang thành thông báo chính thức từ cơ quan Cảnh sát Ukraine. Email chứa tệp đính kèm dạng SVG (Scalable Vector Graphics). Khi mở ra, tệp này không hiển thị ảnh thông thường mà dẫn trình duyệt đến một trang tải xuống tệp ZIP có mật khẩu.
Bên trong ZIP là tệp CHM (Compiled HTML Help) - vốn dùng để hiển thị trợ giúp trong Windows, nhưng trong trường hợp này đã bị lợi dụng để khởi chạy mã độc. Khi người dùng mở tệp CHM, nó khởi động CountLoader, công cụ trung gian để tải và triển khai các phần mềm độc hại khác.
Trong chiến dịch này, CountLoader được sử dụng để phát tán Amatera Stealer và PureMiner, cả hai đều chạy dưới dạng fileless (không ghi ra ổ cứng, hoạt động trực tiếp trong bộ nhớ) giúp tin tặc né tránh các phần mềm diệt virus truyền thống.
Song song với chiến dịch tại Ukraine, các nhà nghiên cứu đã phát hiện một nhóm tin tặc khác cũng đang triển khai phương thức tương tự. Thay vì giả mạo cơ quan công quyền, nhóm này gửi email có chủ đề “thông báo vi phạm bản quyền” để dụ nạn nhân tải về tệp ZIP. Bên trong là chuỗi mã độc dẫn đến việc cài đặt PXA Stealer, sau đó tiến hóa thành nhiều lớp lây nhiễm phức tạp, cuối cùng triển khai PureRAT - một backdoor cho phép tin tặc kiểm soát hoàn toàn máy tính nạn nhân. Điều đáng nói là chúng có thể đang triển khai cách hoạt động này tại Việt Nam.
Điều này cho thấy:
Trong bối cảnh số hóa, chỉ cần một cú click chuột thiếu cảnh giác, người dùng có thể mất dữ liệu, mất tiền và thậm chí mất quyền kiểm soát thiết bị. Do đó, nâng cao nhận thức an ninh mạng và triển khai biện pháp phòng thủ chủ động chính là “lá chắn” quan trọng nhất cho cả cá nhân lẫn tổ chức.
Không dừng lại ở Ukraine, những chiến dịch tương tự có thể liên quan đến Việt Nam, cho thấy mối đe dọa này có phạm vi ảnh hưởng rộng và không loại trừ người dùng, doanh nghiệp tại Việt Nam.
Theo báo cáo từ các chuyên gia, các email lừa đảo được ngụy trang thành thông báo chính thức từ cơ quan Cảnh sát Ukraine. Email chứa tệp đính kèm dạng SVG (Scalable Vector Graphics). Khi mở ra, tệp này không hiển thị ảnh thông thường mà dẫn trình duyệt đến một trang tải xuống tệp ZIP có mật khẩu.
Bên trong ZIP là tệp CHM (Compiled HTML Help) - vốn dùng để hiển thị trợ giúp trong Windows, nhưng trong trường hợp này đã bị lợi dụng để khởi chạy mã độc. Khi người dùng mở tệp CHM, nó khởi động CountLoader, công cụ trung gian để tải và triển khai các phần mềm độc hại khác.
Trong chiến dịch này, CountLoader được sử dụng để phát tán Amatera Stealer và PureMiner, cả hai đều chạy dưới dạng fileless (không ghi ra ổ cứng, hoạt động trực tiếp trong bộ nhớ) giúp tin tặc né tránh các phần mềm diệt virus truyền thống.
- Amatera Stealer: Một biến thể của ACRStealer. Nó thu thập thông tin hệ thống, đánh cắp tệp quan trọng (tài liệu, ví tiền điện tử), trích xuất mật khẩu từ trình duyệt như Chrome, Firefox, và cả ứng dụng nhắn tin như Telegram, Steam hay công cụ quản lý file FileZilla.
- PureMiner: Một công cụ đào tiền điện tử ngầm, tận dụng CPU/GPU của nạn nhân để khai thác coin cho tin tặc, khiến thiết bị bị chậm, tốn điện năng, thậm chí hư hại phần cứng.
Song song với chiến dịch tại Ukraine, các nhà nghiên cứu đã phát hiện một nhóm tin tặc khác cũng đang triển khai phương thức tương tự. Thay vì giả mạo cơ quan công quyền, nhóm này gửi email có chủ đề “thông báo vi phạm bản quyền” để dụ nạn nhân tải về tệp ZIP. Bên trong là chuỗi mã độc dẫn đến việc cài đặt PXA Stealer, sau đó tiến hóa thành nhiều lớp lây nhiễm phức tạp, cuối cùng triển khai PureRAT - một backdoor cho phép tin tặc kiểm soát hoàn toàn máy tính nạn nhân. Điều đáng nói là chúng có thể đang triển khai cách hoạt động này tại Việt Nam.
Điều này cho thấy:
- Việt Nam không chỉ là nạn nhân gián tiếp, mà còn xuất hiện nhóm tin tặc bản địa tham gia vào hệ sinh thái PureCoder.
- Các tổ chức, doanh nghiệp trong nước cũng có nguy cơ trở thành mục tiêu, đặc biệt khi tin tặc sử dụng các mánh khóe quen thuộc như giả mạo thông báo pháp lý, cảnh báo bản quyền.
- Đánh cắp thông tin nhạy cảm: tài khoản email, mạng xã hội, ví tiền điện tử, tài liệu cá nhân.
- Kiểm soát thiết bị từ xa: cài cửa hậu để theo dõi, ra lệnh hoặc tấn công tiếp.
- Đào tiền số trái phép: gây hao pin, nóng máy, hỏng phần cứng.
- Mở rộng phạm vi tấn công: dữ liệu bị đánh cắp có thể được bán lại hoặc dùng cho các chiến dịch khác.
- Không mở file lạ: SVG, CHM, ZIP… đều có thể bị lợi dụng. Đừng nghĩ chỉ file “.exe” mới nguy hiểm.
- Xác thực nguồn gửi: Kiểm tra kỹ địa chỉ email, không tin ngay vào tên hiển thị hay logo cơ quan.
- Cập nhật bảo mật: Luôn cập nhật phần mềm diệt virus, hệ điều hành, và bật tính năng bảo vệ nâng cao.
- Đào tạo nhân sự: Doanh nghiệp cần huấn luyện nhân viên nhận diện email lừa đảo, không tải tệp khi chưa chắc chắn.
- Theo dõi thiết bị: Nếu thấy máy tính bỗng chạy chậm bất thường, CPU nóng, quạt quay mạnh liên tục, có thể đã bị cài trình đào tiền số.
Trong bối cảnh số hóa, chỉ cần một cú click chuột thiếu cảnh giác, người dùng có thể mất dữ liệu, mất tiền và thậm chí mất quyền kiểm soát thiết bị. Do đó, nâng cao nhận thức an ninh mạng và triển khai biện pháp phòng thủ chủ động chính là “lá chắn” quan trọng nhất cho cả cá nhân lẫn tổ chức.
Theo The Hacker News