MinhSec
Writer
Công ty an ninh mạng Blackpoint Cyber vừa cảnh báo về một chiến dịch tấn công lừa đảo tinh vi mới, nhắm thẳng vào các giám đốc điều hành và nhân sự cấp cao. Thay vì gửi những tệp thực thi dễ bị nghi ngờ, kẻ tấn công sử dụng các kho lưu trữ ZIP được ngụy trang thành tài liệu nhạy cảm như bản quét hộ chiếu, xác minh danh tính hay tệp thanh toán.
Bên trong những kho lưu trữ này là các tệp shortcut Windows (.lnk) độc hại. Chỉ cần một cú nhấp chuột, người dùng vô tình kích hoạt PowerShell – công cụ hợp pháp của Windows để tải xuống phần mềm độc hại từ máy chủ bên ngoài. Để tránh bị nghi ngờ, tệp tải về được đặt tên giống như một bản trình chiếu PowerPoint, nhưng thực chất lại là một DLL độc hại.
Khi đã xâm nhập hệ thống, kẻ tấn công tiếp tục tận dụng rundll32.exe một tiện ích hợp pháp của Windows để chạy mã độc. Chiến thuật này, còn gọi là “sống nhờ đất” (living off the land), giúp hành vi tấn công trông như hoạt động hệ thống bình thường, khó bị phát hiện.
Điểm đáng chú ý là phần mềm độc hại này còn có khả năng kiểm tra sự hiện diện của các chương trình diệt virus phổ biến như Avast, AVG hay Bitdefender. Dựa trên kết quả, nó sẽ chọn loại tệp độc hại phù hợp để tránh bị phát hiện, nâng cao cơ hội xâm nhập thành công.
Cuối cùng, máy tính bị nhiễm sẽ kết nối đến máy chủ điều khiển (C2), cho phép kẻ tấn công kiểm soát từ xa, theo dõi dữ liệu hoặc cài thêm mã độc nguy hiểm hơn.
Theo Blackpoint Cyber, điểm khiến chiến dịch này nguy hiểm nằm ở sự thuyết phục: tài liệu giả mạo trông rất thật và liên quan trực tiếp đến công việc của lãnh đạo. Người dùng được khuyến cáo:
hackread.com
Bên trong những kho lưu trữ này là các tệp shortcut Windows (.lnk) độc hại. Chỉ cần một cú nhấp chuột, người dùng vô tình kích hoạt PowerShell – công cụ hợp pháp của Windows để tải xuống phần mềm độc hại từ máy chủ bên ngoài. Để tránh bị nghi ngờ, tệp tải về được đặt tên giống như một bản trình chiếu PowerPoint, nhưng thực chất lại là một DLL độc hại.
“Sống nhờ đất” và né tránh phần mềm diệt virus
Khi đã xâm nhập hệ thống, kẻ tấn công tiếp tục tận dụng rundll32.exe một tiện ích hợp pháp của Windows để chạy mã độc. Chiến thuật này, còn gọi là “sống nhờ đất” (living off the land), giúp hành vi tấn công trông như hoạt động hệ thống bình thường, khó bị phát hiện.
Điểm đáng chú ý là phần mềm độc hại này còn có khả năng kiểm tra sự hiện diện của các chương trình diệt virus phổ biến như Avast, AVG hay Bitdefender. Dựa trên kết quả, nó sẽ chọn loại tệp độc hại phù hợp để tránh bị phát hiện, nâng cao cơ hội xâm nhập thành công.
Cuối cùng, máy tính bị nhiễm sẽ kết nối đến máy chủ điều khiển (C2), cho phép kẻ tấn công kiểm soát từ xa, theo dõi dữ liệu hoặc cài thêm mã độc nguy hiểm hơn.
Làm gì để tự bảo vệ?
Theo Blackpoint Cyber, điểm khiến chiến dịch này nguy hiểm nằm ở sự thuyết phục: tài liệu giả mạo trông rất thật và liên quan trực tiếp đến công việc của lãnh đạo. Người dùng được khuyến cáo:
- Không mở các tệp shortcut (.lnk) đi kèm trong ZIP nếu không rõ nguồn gốc.
- Doanh nghiệp nên triển khai chính sách hạn chế thực thi shortcut và giám sát chặt chẽ các chương trình như PowerShell hay rundll32.exe.
Malicious ZIP Files Use Windows Shortcuts to Drop Malware
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
