Email giả mạo khảo sát cài mã độc Linux vào hệ thống Windows

Các nhà nghiên cứu bảo mật tại Securonix (Mỹ) đã phát hiện ra chiến dịch tấn công mạng mới có tên CRON#TRAP đang nhắm vào nhiều tổ chức thông qua email giả mạo. Tin tặc đã sử dụng một chiến thuật tinh vi khi giả mạo email khảo sát từ công ty bảo hiểm để khiến người dùng mất cảnh giác. Email lừa đảo này sẽ đi kèm một tập tin ZIP dung lượng lớn 285 MB chứa máy ảo Linux với mã độc được cài đặt sẵn. Khi người dùng giải nén tập tin này, một lệnh PowerShell sẽ tự động kích hoạt, giải nén dữ liệu và cài đặt máy ảo vào hệ thống Windows.

Máy ảo Linux hoạt động thông qua công cụ QEMU - một phần mềm hợp pháp nên không gây ra cảnh báo bảo mật. Quá trình cài đặt còn hiển thị một hình ảnh lỗi giả mạo, tạo cảm giác rằng liên kết khảo sát đã bị lỗi, nhằm đánh lạc hướng nạn nhân trong khi mã độc ngầm vận hành bên trong máy ảo.

Máy ảo độc hại này chứa một công cụ gọi là Chisel, cho phép duy trì kênh liên lạc bảo mật thông qua giao thức HTTP và SSH với máy chủ điều khiển của kẻ tấn công. Qua đó, tin tặc có thể truy cập hệ thống từ xa mà không bị tường lửa ngăn chặn. Tin tặc cũng có thể sử dụng các lệnh như "get-host-shell" để mở giao diện dòng lệnh trên hệ thống hoặc "get-host-user" để xác định quyền hạn của người dùng, giúp tăng cường khả năng điều khiển và thực hiện nhiều thao tác nguy hiểm như giám sát, lấy cắp dữ liệu hoặc cài thêm mã độc.

Để duy trì quyền truy cập lâu dài, mã độc tự động khởi động lại cùng hệ thống mỗi khi thiết bị bật lại. Công cụ còn tự động tạo các khóa SSH, cho phép mã độc bỏ qua bước xác thực mỗi lần đăng nhập lại, duy trì kết nối lâu dài với hệ thống của nạn nhân.

Mã độc đã dùng PowerShell để giải nén, chạy máy ảo Linux chứa backdoor trên Windows và tránh các cảnh báo bảo mật hệ thống.

Trước mối đe dọa từ CRON#TRAP, các chuyên gia bảo mật khuyến cáo doanh nghiệp nên giám sát các tiến trình đáng ngờ như "qemu.exe" xuất hiện trong thư mục dễ truy cập của người dùng, đồng thời đưa QEMU và các công cụ ảo hóa vào danh sách chặn. Với những thiết bị quan trọng nên vô hiệu hóa tính năng ảo hóa trong BIOS để ngăn ngừa mã độc lợi dụng.

Chiến dịch CRON#TRAP cho thấy tội phạm mạng đang ngày càng lợi dụng công cụ ảo hóa hợp pháp để xâm nhập và duy trì quyền kiểm soát hệ thống mà không bị phát hiện. Các tổ chức cần nâng cao cảnh giác và thực hiện biện pháp phòng ngừa để bảo vệ mạng khỏi những cuộc tấn công tinh vi, tránh rủi ro về an ninh và mất dữ liệu nghiêm trọng.

Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) đã nhiều lần khuyến cáo các cơ quan, tổ chức, doanh nghiệp trong nước về xu hướng gia tăng các sự cố tấn công ransomware.

Tại nghiên cứu mới về tình hình nguy cơ mất an toàn thông tin tại Việt Nam quý III/2024 vừa thực hiện, Viettel Cyber Security cho hay, mã độc ransomware và mã độc đánh cắp thông tin - stealer là những dòng mã độc hoạt động mạnh, thường xuyên được sử dụng trong các vụ tấn công vào hệ thống trong nước. So với 2 quý đầu năm 2024, các vụ tấn công ransomware trong quý III được nhận định có dấu hiệu giảm về số lượng nhưng mức độ ảnh hưởng vẫn rất lớn khi các công ty, tổ chức lớn trở thành mục tiêu bị nhắm đến nhiều hơn cả.

Các nhóm tin tặc thường tận dụng nhiều phương thức để phát tán ransomware gồm email lừa đảo, tạo ra các website giả mạo và sử dụng những lỗ hổng bảo mật để xâm nhập vào hệ thống. Mục tiêu chính của ransomware là các máy chủ dễ bị tấn công, nơi có nhiều dữ liệu quan trọng và cơ hội lớn để đòi tiền chuộc. 

Theo đó, các chuyên gia khuyến nghị cơ quan, tổ chức cần triển khai đồng bộ nhiều giải pháp để phòng ngừa và ứng phó kịp thời trước sự cố tấn công, bao gồm cả tấn công bằng các dòng mã độc ransomware và stealer. Trong đó, chủ động săn tìm các nguy cơ, rủi ro tiềm ẩn và giám sát thường xuyên, liên tục 24/7 để phát hiện và phản ứng sớm với cuộc tấn công là 2 biện pháp được đặc biệt lưu ý.

Thanh Hiền (t/h)