Một chiến dịch tấn công mạng mới vừa được các chuyên gia an ninh mạng phát hiện đang lan rộng, nhắm vào người tìm việc và nhân viên digital marketing. Đứng sau chiến dịch này là nhóm tin tặc có tên BatShadow, sử dụng chiêu giả danh nhà tuyển dụng để phát tán mã độc mới có tên Vampire Bot.
Cách nhóm này hoạt động là gửi cho nạn nhân file mô tả công việc hoặc tài liệu công ty dưới dạng tệp ZIP. Khi mở ra, bên trong là file giả mạo PDF thực chất là chương trình độc hại (.exe). Chỉ cần một cú nhấp chuột, máy tính của nạn nhân đã bị cài mã độc mà họ không hề hay biết.
Một điểm đáng chú ý trong chiến dịch là thủ đoạn đánh lừa người dùng đổi trình duyệt. Khi nạn nhân mở tài liệu mồi, họ được dẫn tới một trang web giả mạo trang tuyển dụng của Marriott. Trang này hiển thị thông báo lỗi “Chỉ hỗ trợ Microsoft Edge” và hướng dẫn người dùng sao chép đường dẫn, mở thủ công bằng Edge.
Đây là mánh khóe để vượt qua cơ chế chặn tải file độc hại của Chrome, vì khi người dùng tự mở bằng Edge, hệ thống xem đó là hành động “hợp lệ” và cho phép tải file chứa mã độc Vampire Bot về máy.
Mã độc Vampire Bot được viết bằng ngôn ngữ lập trình Go, có thể:
BatShadow thường nhắm vào dân digital marketing, vì họ nắm nhiều tài khoản Facebook Business, quảng cáo và ngân sách, mang lại lợi ích tài chính lớn nếu bị chiếm đoạt.
Để tự bảo vệ, các chuyên gia an ninh mạng khuyến cáo người dùng nên:
Cách nhóm này hoạt động là gửi cho nạn nhân file mô tả công việc hoặc tài liệu công ty dưới dạng tệp ZIP. Khi mở ra, bên trong là file giả mạo PDF thực chất là chương trình độc hại (.exe). Chỉ cần một cú nhấp chuột, máy tính của nạn nhân đã bị cài mã độc mà họ không hề hay biết.
Một điểm đáng chú ý trong chiến dịch là thủ đoạn đánh lừa người dùng đổi trình duyệt. Khi nạn nhân mở tài liệu mồi, họ được dẫn tới một trang web giả mạo trang tuyển dụng của Marriott. Trang này hiển thị thông báo lỗi “Chỉ hỗ trợ Microsoft Edge” và hướng dẫn người dùng sao chép đường dẫn, mở thủ công bằng Edge.
Đây là mánh khóe để vượt qua cơ chế chặn tải file độc hại của Chrome, vì khi người dùng tự mở bằng Edge, hệ thống xem đó là hành động “hợp lệ” và cho phép tải file chứa mã độc Vampire Bot về máy.
Mã độc Vampire Bot được viết bằng ngôn ngữ lập trình Go, có thể:
- Thu thập thông tin máy tính và người dùng
- Chụp ảnh màn hình định kỳ
- Đánh cắp dữ liệu, tài khoản trực tuyến
- Liên lạc với máy chủ điều khiển để nhận lệnh và tải thêm mã độc khác
Để tự bảo vệ, các chuyên gia an ninh mạng khuyến cáo người dùng nên:
- Không mở file .zip, .exe, hoặc .pdf.exe từ người lạ.
- Bật chế độ hiển thị phần mở rộng tệp trong Windows.
- Không tải tài liệu từ trang yêu cầu chuyển sang trình duyệt khác.
- Cài phần mềm bảo mật đáng tin cậy và cập nhật thường xuyên.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
