Thận trọng trước phần mềm độc hại mới nhất liên quan tới Covid-19

Ông Stephan Neumeier, Giám đốc điều hành Kaspersky khu vực châu Á Thái Bình Dương cho biết: “Trong khi các chuyên gia y tế đang gấp rút tìm ra phương pháp chữa trị dịch Covid-19, thì tội phạm mạng cũng “bận rộn” không kém để tìm ra các phương thức mới để kiếm tiền từ các tổ chức và cá nhân bằng cách khai thác sự hoảng loạn của cộng đồng đối với dịch bệnh hiện nay.

Theo các nhà bảo mật, hiện nay một số hacker đã phát triển và sử dụng phần mềm độc hại nhằm phá hủy các hệ thống bị nhiễm, bằng cách xóa các tệp tin hoặc ghi đè lên chương trình khởi động chính của máy tính (MBR).

Các nhà nghiên cứu đã xác định được ít nhất là 5 chủng thuộc phần mềm độc hại, một số hiện đã được lây nhiễm qua mạng, trong khi một số khác dường như chỉ được tạo ra dưới dạng thử nghiệm hoặc trêu đùa. Đặc điểm chung của những chủng này là lợi dụng Covid-19 để phá hoại dữ liệu, thay vì kiếm lợi.

Trong số bốn mẫu phần mềm độc hại được các nhà nghiên cứu bảo mật phát hiện ra trong tháng vừa qua, tiên tiến nhất là hai mẫu có khả năng ghi đè MBR, ghi đè mã lệnh thực thi của hệ thống máy tính.

Theo đó, để tạo ra được những phần mềm độc hại này đòi hỏi phải có một số kiến thức, kỹ thuật nâng cao, vì việc “mày mò” MBR không phải là điều dễ dàng và có thể dẫn đến hệ thống máy tính sẽ hỏng, không tự khởi động lại được nữa.

Phần mềm độc hại ghi đè MBR lần đầu tiên được phát hiện bởi các nhà nghiên cứu bảo mật có tên MalwareHunterTeam và được sử dụng với tên gọi COVID-19.exe, lây nhiễm vào hệ thống máy tính qua hai giai đoạn. Trong giai đoạn đầu tiên, nó chỉ hiển thị một cửa sổ thông báo làm cho người dùng rất khó chịu mà không thể đóng nó lại vì phần mềm độc hại này cũng đã vô hiệu hóa cả trình quản lý tác vụ của hệ điều hành Windows (Windows Task Manager).

Trong khi người dùng đang phải tìm cách xử lý cửa sổ này, phần mềm độc hại đã âm thầm ghi đè MBR chính của máy tính. Sau đó nó tự khởi động lại máy tính và MBR mới sẽ được khởi động và chặn người dùng tiếp tục khởi động máy của mình. Người dùng cũng có thể lấy lại quyền truy cập vào máy tính của mình, nhưng sẽ phải cần thêm một số ứng dụng đặc biệt khác có thể được sử dụng để khôi phục và sửa chữa lại MBR về trạng thái hoạt động như ban đầu.

Tuy nhiên, vẫn còn có một chủng phần mềm độc hại khác liên quan đến Covid-19 cũng có thể ghi đè MBR và mã độc này được cho là có cách thức hoạt động phức tạp hơn nhiều. 

Liên quan tới những mã độc này, trước đó hãng bảo mật Kaspersky cũng đã phát hiện 23 phần mềm độc hại tại Việt Nam để phát tán phần mềm độc hại, email lừa đảo trong tình hình dịch Covid-19 hoành hành.

Kaspersky cũng đã phát hiện 93 phần mềm độc hại liên quan đến Covid-19 ở Bangladesh, 53 ở Philippines, 40 ở Trung Quốc, 22 ở Ấn Độ và 20 ở Malaysia. Tại Singapore, Nhật Bản, Indonesia, Hồng Công (Trung Quốc), Myanmar và Thái Lan, số phần mềm độc hại đang ở mức dưới 10.

Kaspersky đã tìm thấy các tệp độc hại được ngụy trang thành những tài liệu liên quan đến virus, ẩn dưới vỏ bọc của tệp pdf, mp4 và docx về virus SAS-CoV-2. Tên của tệp thể hiện rằng chúng chứa các hướng dẫn bằng video về cách bảo vệ người dùng khỏi virus, cập nhật về các mối nguy hại và quy trình phát hiện virus. Tuy nhiên trên thực tế, các tệp này chứa một loạt mối đe dọa mạng.

Cùng với sự gia tăng liên tục của các ca nhiễm Covid-19 là những phương thức tấn công mà tội phạm mạng sử dụng để lợi dụng sự hoảng loạn của công chúng trong bối cảnh dịch bệnh đang ảnh hưởng trên toàn cầu. Hãng bảo mật Kaspersky đã liên tục phát hiện nhiều công cụ tấn công mới liên quan đến Covid-19 đang được sử dụng bởi tội phạm mạng.

Trong tháng 2, Kaspersky đã phát cảnh báo về các tệp pdf, mp4 và docx độc hại được ngụy trang thành các tài liệu liên quan đến virus corona chủng mới.

Để khiến các email trông đáng tin hơn, tội phạm mạng đã mạo danh Trung tâm kiểm soát và phòng ngừa dịch bệnh (CDC) - một tổ chức ở Mỹ, để gửi email với nội dung khuyến nghị về Covid-19.

Thoạt nhìn, email có vẻ đáng tin cho đến khi người dùng nhấp vào tên miền cdc-gov.org và được chuyển đến trang đăng nhập Outlook. Lúc này, khả năng cao là người dùng sẽ bị đánh cắp thông tin đăng nhập email.

Một trong những chiến dịch spam mới nhất giả mạo Tổ chức Y tế Thế giới (WHO) cho thấy tin tặc đã lợi dụng uy tín của WHO (trong việc thường xuyên cập nhật thông tin về Covid-19) để tấn công mạng.

Người dùng khi nhấp vào liên kết nhúng trong email được gửi từ “WHO” sẽ được chuyển hướng đến một trang web lừa đảo yêu cầu nhập thông tin cá nhân. Sau đó, những thông tin này sẽ đến tay tội phạm mạng.

Một số tệp chứa mã độc được phát tán qua email. Ví dụ, tệp có định dạng excel gồm danh sách các nạn nhân nhiễm Covid-19 được đính kèm trong email gửi từ “WHO” nhưng trên thực tế là một trình tải xuống Trojan có khả năng tải xuống và cài đặt tệp chứa mã độc lên máy người dùng.

Tệp thứ hai này là một Trojan-Spy được thiết kế để thu thập nhiều dữ liệu khác nhau, bao gồm cả mật khẩu, từ thiết bị của nạn nhân và gửi cho tin tặc.

Trước nhiều mối đe dọa trên, các nhà bảo mật kêu gọi các doanh nghiệp, cá nhân, tổ chức cần phải thận trọng trong thời gian dịch bệnh Covid-19 đang hoành hành và còn kéo dài. Ngoài ra, các doanh nghiệp nên thông tin cụ thể để bảo đảm nhân viên nhận thức được rủi ro, cũng như doanh nghiệp cần đảm bảo quyền truy cập từ xa cho những nhân viên tự cách ly hoặc làm việc tại nhà.

Thực tế là một khi các thiết bị được đưa ra ngoài cơ sở hạ tầng mạng của công ty và kết nối với những mạng và WI-FI mới, rủi ro đối với thông tin của công ty sẽ tăng lên. Đây là thời điểm mà chúng ta cần tăng cường không chỉ khả năng miễn dịch vật lý mà còn cả mạng lưới bảo mật trước các cuộc tấn công gây thiệt hại lớn này.

An Dương (T/h)