Tận dụng lòng tin từ danh bạ bị hack để phát tán file độc

Theo báo cáo mới nhất từ nhóm Phân tích và Nghiên cứu toàn cầu của Kaspersky, chiến dịch mã độc này đã bùng phát mạnh.

Các quốc gia và vùng lãnh thổ ghi nhận có sự xuất hiện của mã độc bao gồm Việt Nam, Singapore, Malaysia, Ấn Độ, Đài Loan (Trung Quốc), Australia, Nga, Anh, Tây Ban Nha, Brazil và Mexico.

Đáng chú ý, đối tượng tấn công tập trung nhắm trực tiếp vào những người thường xuyên sử dụng hai phiên bản WhatsApp Desktop (ứng dụng trên máy tính) và WhatsApp Web (phiên bản trên trình duyệt).

Thủ đoạn của tin tặc trong chiến dịch này vô cùng tinh vi khi lợi dụng chính các tài khoản WhatsApp đã bị chiếm đoạt trước đó để làm bàn đạp.

Kẻ tấn công sẽ dùng các tài khoản này để gửi hàng loạt tệp đính kèm chứa mã độc đến danh bạ của nạn nhân.

Do tin nhắn xuất phát từ tài khoản của người quen hoặc đối tác, người nhận rất dễ mất cảnh giác và chủ động mở các tệp tin này ra.

Để tăng độ tin cậy, các tệp tin độc hại được đặt tên giả mạo các loại tài liệu nghiệp vụ hoặc chứng từ kế toán, tài chính phổ biến như: hóa đơn, thông báo công nợ, sao kê ngân hàng, báo cáo tài khoản và chứng từ thanh toán.

Thậm chí, tên tệp còn được dịch sang ngôn ngữ địa phương của từng quốc gia để đánh lừa người dùng, cho thấy đây là một chiến dịch có sự chuẩn bị kỹ lưỡng và quy mô phát tán rất rộng.

Lợi dụng phần mềm quản trị hợp pháp để kiểm soát máy tính

Về mặt kỹ thuật, các chuyên gia bảo mật phân tích rằng tệp đính kèm bản chất là các đoạn mã VBScript (một dạng kịch bản có thể tự động chạy trên hệ điều hành Windows qua công cụ Windows Script Host).

Ngay khi người dùng nhấn mở tệp, một chuỗi lây nhiễm nhiều giai đoạn sẽ lập tức được kích hoạt. Mã độc tự tạo thư mục làm việc ẩn trên hệ thống, bí mật kết nối tới máy chủ điều khiển từ xa của tin tặc để tải về các thành phần độc hại khác.

Để che giấu hành vi và qua mặt các công cụ kiểm tra an ninh, một số mẫu VBScript đã được chèn thêm các đoạn chú thích và siêu dữ liệu nhằm giả dạng thành các thành phần cập nhật hệ thống của Windows Update.

Sau khi thâm nhập sâu, mã độc sẽ tải các gói thực thi tiếp theo để tìm cách vô hiệu hóa hoặc can thiệp vào cơ chế bảo vệ User Account Control (UAC) của Windows.

Cuối cùng, nó tự động tải và cài đặt lén lút công cụ quản trị từ xa ManageEngine RMM Central.

Dù ManageEngine RMM Central vốn là một phần mềm hợp pháp được các kỹ thuật viên dùng để giám sát và hỗ trợ hệ thống từ xa, nhưng trong chiến dịch này, nó đã bị biến thành công cụ giúp kẻ tấn công tạo kênh truy cập trái phép.

Từ đó, tin tặc có toàn quyền điều khiển máy tính của nạn nhân từ xa, theo dõi mọi hoạt động, thực hiện lệnh hệ thống hoặc tiếp tục triển khai các hành vi gián điệp, đánh cắp dữ liệu.

Sự khác biệt trong kịch bản tấn công và khuyến cáo an toàn

Nghiên cứu của Kaspersky cũng chỉ ra sự khác biệt về cách thức kích hoạt mã độc giữa hai phiên bản ứng dụng:

Đối với WhatsApp Web: Người dùng thường phải thực hiện thao tác tải tệp xuống máy tính, sau đó mã độc chỉ chạy khi người dùng mở tệp từ thư mục tải về hoặc từ lịch sử tải xuống của trình duyệt web.

Đối với WhatsApp Desktop: Nguy cơ cao hơn khi mã độc có thể được kích hoạt trực tiếp ngay bên trong ứng dụng.

Tiến trình hệ thống WhatsApp.Root.exe sẽ tự động gọi lệnh WScript.exe để chạy đoạn mã VBScript độc hại mà người dùng khó nhận biết.

Trước mối đe dọa này, các chuyên gia khuyến cáo người dùng tuyệt đối không mở các tệp đính kèm có dấu hiệu bất thường trên WhatsApp, ngay cả khi chúng được gửi từ tài khoản của người quen.

Người dùng cần đặc biệt cảnh giác và kiểm tra kỹ phần mở rộng của tệp tin, tránh xa các định dạng có khả năng tự thực thi mã như .vbs, .vbe, .exe, .bat, .cmd, .js, hay .ps1 nếu chưa xác minh rõ ràng mục đích gửi.

Bên cạnh đó, việc kích hoạt tính năng xác thực hai bước (2FA) cho tài khoản WhatsApp, thường xuyên cập nhật hệ điều hành và dùng phần mềm bảo mật có bản quyền là vô cùng cần thiết.

Đối với môi trường doanh nghiệp, bộ phận kỹ thuật cần tăng cường giám sát các hành vi bất thường liên quan đến tiến trình WScript.exe, chặn các truy cập đến hạ tầng mạng lạ và kiểm soát chặt chẽ việc cài đặt trái phép các công cụ quản trị từ xa trên máy tính của nhân viên.