-
09/04/2020
-
128
-
1.691 bài viết
Cảnh báo chiến dịch phishing giả mạo Zoom và Microsoft Teams để phát tán mã độc
Nếu bạn đang dùng Zoom, Microsoft Teams, Google Meet hay Adobe Reader, hãy cẩn thận. Một chiến dịch phishing mới đang giả mạo chính các ứng dụng quen thuộc này để dụ bạn hay người dùng tải về phần mềm độc hại. Chỉ một cú click tải “bản cập nhật” giả, hacker có thể chiếm quyền máy tính của bạn.
Điều đáng lo ngại là các tập tin độc hại trong chiến dịch này được ký số bằng chứng chỉ bảo mật hợp pháp, khiến chúng trông giống như phần mềm đáng tin cậy và dễ dàng vượt qua nhiều lớp kiểm tra bảo mật thông thường.
Phần mềm độc hại có chữ ký số nhắm mục tiêu vào Zoom Teams (Nguồn: Microsoft)
Email có chứa tệp đính kèm PDF (Nguồn: Microsoft)
Trong file PDF này có một nút màu đỏ với nội dung “Open in Adobe”. Khi người dùng nhấn vào, họ sẽ được chuyển đến một trang web giả mạo trang tải xuống của Adobe.
Trang web này thuyết phục người dùng tải về một file được quảng cáo là Adobe Acrobat Reader. Tuy nhiên, file tải xuống thực chất là một công cụ quản trị từ xa (RMM - Remote Monitoring and Management).
Nội dung bên trong tệp đính kèm PDF giả mạo (Nguồn: Microsoft)
Hoặc trong một biến thể khác của chiến dịch, kẻ tấn công gửi email giả mạo thư mời họp trên Zoom hoặc Microsoft Teams. Khi người dùng nhấp vào liên kết, họ sẽ được yêu cầu cài đặt hoặc cập nhật phần mềm họp trực tuyến.
Khi người dùng tải và cài đặt phần mềm này, malware sẽ tự động sao chép chính nó vào thư mục "C:\Program Files", giả dạng như một ứng dụng hợp pháp được cài đặt trên hệ thống.
Các chuyên gia từ nhóm Microsoft Defender Experts vừa phát hiện nhiều chiến dịch tấn công mạng tinh vi nhắm vào người dùng doanh nghiệp thông qua các ứng dụng làm việc phổ biến như Zoom và Microsoft Teams. Những chiến dịch này sử dụng email lừa đảo để đánh lừa người dùng tải về các phần mềm tưởng chừng hợp pháp, nhưng thực chất lại là công cụ cho phép tin tặc truy cập và kiểm soát máy tính từ xa.Điều đáng lo ngại là các tập tin độc hại trong chiến dịch này được ký số bằng chứng chỉ bảo mật hợp pháp, khiến chúng trông giống như phần mềm đáng tin cậy và dễ dàng vượt qua nhiều lớp kiểm tra bảo mật thông thường.
Chiến dịch tấn công được phát hiện như thế nào?
Theo phân tích của Microsoft, các chiến dịch này được phát hiện vào tháng 02/2026 khi hệ thống giám sát của Microsoft Defender ghi nhận nhiều hoạt động phishing bất thường nhắm vào các ứng dụng làm việc trong môi trường doanh nghiệp.
Tin tặc gửi email tới nhân viên trong tổ chức với nội dung giống như:
Tin tặc gửi email tới nhân viên trong tổ chức với nội dung giống như:
- Thư mời họp trực tuyến
- Thông báo tài chính
- Hóa đơn
- Tài liệu nội bộ
Những email này thường chứa file PDF hoặc đường link tải phần mềm. Khi người dùng mở hoặc nhấp vào liên kết, họ sẽ được dẫn tới trang tải xuống giả mạo.
Các trang này thuyết phục nạn nhân tải về các tệp thực thi (executable) có tên giống các phần mềm quen thuộc như:
Các trang này thuyết phục nạn nhân tải về các tệp thực thi (executable) có tên giống các phần mềm quen thuộc như:
- msteams.exe
- zoomworkspace.clientsetup.exe
- adobereader.exe
- trustconnectagent.exe
- invite.exe
Trên thực tế, các file này không phải phần mềm hợp pháp mà là công cụ cho phép tin tặc kiểm soát máy tính từ xa.
Phần mềm độc hại có chữ ký số nhắm mục tiêu vào Zoom Teams (Nguồn: Microsoft)
Thủ đoạn nguy hiểm: Lợi dụng chứng chỉ ký số hợp pháp
Một trong những yếu tố khiến chiến dịch này đặc biệt nguy hiểm là việc kẻ tấn công sử dụng chứng chỉ Extended Validation (EV) hợp pháp được cấp cho một công ty có tên TrustConnect Software PTY LTD.
Chứng chỉ EV là loại chứng chỉ bảo mật có mức độ xác thực cao, thường được sử dụng để ký phần mềm nhằm chứng minh rằng phần mềm đó đến từ một nhà phát triển đáng tin cậy.
Bằng cách ký số các file độc hại bằng chứng chỉ này, tin tặc khiến hệ thống và người dùng tin rằng đây là phần mềm hợp pháp. Điều này giúp malware tránh bị nhiều giải pháp bảo mật phát hiện.
Chứng chỉ EV là loại chứng chỉ bảo mật có mức độ xác thực cao, thường được sử dụng để ký phần mềm nhằm chứng minh rằng phần mềm đó đến từ một nhà phát triển đáng tin cậy.
Bằng cách ký số các file độc hại bằng chứng chỉ này, tin tặc khiến hệ thống và người dùng tin rằng đây là phần mềm hợp pháp. Điều này giúp malware tránh bị nhiều giải pháp bảo mật phát hiện.
Cơ chế tấn công: Từ email lừa đảo đến kiểm soát máy tính
Chuỗi tấn công của chiến dịch này diễn ra theo nhiều bước.
Ban đầu, nạn nhân nhận được một email lừa đảo có chứa file PDF hoặc đường link. Khi mở file PDF, người dùng sẽ thấy một hình ảnh bị làm mờ giống như tài liệu bị hạn chế quyền truy cập.
Ban đầu, nạn nhân nhận được một email lừa đảo có chứa file PDF hoặc đường link. Khi mở file PDF, người dùng sẽ thấy một hình ảnh bị làm mờ giống như tài liệu bị hạn chế quyền truy cập.
Email có chứa tệp đính kèm PDF (Nguồn: Microsoft)
Trong file PDF này có một nút màu đỏ với nội dung “Open in Adobe”. Khi người dùng nhấn vào, họ sẽ được chuyển đến một trang web giả mạo trang tải xuống của Adobe.
Trang web này thuyết phục người dùng tải về một file được quảng cáo là Adobe Acrobat Reader. Tuy nhiên, file tải xuống thực chất là một công cụ quản trị từ xa (RMM - Remote Monitoring and Management).
Nội dung bên trong tệp đính kèm PDF giả mạo (Nguồn: Microsoft)
Hoặc trong một biến thể khác của chiến dịch, kẻ tấn công gửi email giả mạo thư mời họp trên Zoom hoặc Microsoft Teams. Khi người dùng nhấp vào liên kết, họ sẽ được yêu cầu cài đặt hoặc cập nhật phần mềm họp trực tuyến.
Khi người dùng tải và cài đặt phần mềm này, malware sẽ tự động sao chép chính nó vào thư mục "C:\Program Files", giả dạng như một ứng dụng hợp pháp được cài đặt trên hệ thống.
Công cụ được sử dụng để kiểm soát hệ thống
Sau khi được cài đặt, các file độc hại sẽ triển khai các công cụ RMM (vốn là các phần mềm hợp pháp được sử dụng trong quản trị hệ thống). Những công cụ này bao gồm:
- ScreenConnect
- Tactical RMM
- MeshAgent
Các công cụ RMM gián tiếp cho phép tin tặc:
- Truy cập máy tính từ xa
- Theo dõi hoạt động người dùng
- Cài đặt phần mềm khác
- Di chuyển sang các máy tính khác trong mạng nội bộ
Điều này tạo điều kiện cho tin tặc duy trì quyền truy cập lâu dài và mở rộng phạm vi tấn công trong hệ thống doanh nghiệp.
Rủi ro và mức độ nguy hiểm
Chiến dịch này đặc biệt nguy hiểm vì nó lợi dụng những ứng dụng làm việc quen thuộc trong môi trường doanh nghiệp. Người dùng thường tin tưởng các phần mềm như Zoom hay Microsoft Teams, nên khả năng họ tải xuống các file giả mạo là rất cao. Nếu bị khai thác thành công, các hệ thống doanh nghiệp có thể đối mặt với nhiều rủi ro:
- Bị theo dõi và kiểm soát từ xa
- Rò rỉ dữ liệu nội bộ
- Lộ thông tin tài khoản người dùng
- Trở thành điểm khởi đầu cho các cuộc tấn công ransomware
- Lan rộng sang nhiều máy trong mạng nội bộ
Do các phần mềm độc hại được ký số bằng chứng chỉ hợp pháp, nhiều hệ thống bảo mật truyền thống có thể khó phát hiện ngay từ đầu.
Khuyến nghị bảo mật từ Microsoft
Để giảm thiểu rủi ro từ các chiến dịch tấn công kiểu này, Microsoft khuyến nghị các tổ chức tăng cường kiểm soát đối với việc cài đặt phần mềm trong hệ thống. Các chuyên gia an ninh mạng khuyến cáo:
- Sử dụng Windows Defender Application Control hoặc AppLocker để chặn các công cụ quản trị từ xa không được phép
- Triển khai xác thực đa yếu tố (MFA) cho các hệ thống quản trị từ xa hợp pháp
- Thường xuyên kiểm tra hệ thống để phát hiện các phần mềm RMM cài đặt trái phép
- Sử dụng cloud-delivered protection để phát hiện các mối đe dọa mới
- Đào tạo nhân viên nhận biết email phishing và các trang tải phần mềm giả mạo
Ngoài ra, các tổ chức cần xây dựng quy trình kiểm tra nghiêm ngặt đối với các phần mềm được tải xuống từ email hoặc các nguồn bên ngoài. Chiến dịch phishing giả mạo Zoom và Microsoft Teams cho thấy tin tặc ngày càng tận dụng những công cụ làm việc quen thuộc để thực hiện các cuộc tấn công mạng. Bằng cách kết hợp email lừa đảo, chứng chỉ ký số hợp pháp và công cụ quản trị từ xa, kẻ tấn công có thể vượt qua nhiều lớp phòng thủ và âm thầm kiểm soát hệ thống doanh nghiệp.
Trong môi trường làm việc số hiện nay, không chỉ các lỗ hổng phần mềm mà những hành động tưởng chừng đơn giản như tải một bản cập nhật phần mềm cũng có thể trở thành điểm khởi đầu của một cuộc tấn công mạng. Việc nâng cao nhận thức bảo mật và kiểm soát chặt chẽ các ứng dụng được cài đặt trong hệ thống vẫn là yếu tố then chốt giúp các tổ chức giảm thiểu rủi ro.
Trong môi trường làm việc số hiện nay, không chỉ các lỗ hổng phần mềm mà những hành động tưởng chừng đơn giản như tải một bản cập nhật phần mềm cũng có thể trở thành điểm khởi đầu của một cuộc tấn công mạng. Việc nâng cao nhận thức bảo mật và kiểm soát chặt chẽ các ứng dụng được cài đặt trong hệ thống vẫn là yếu tố then chốt giúp các tổ chức giảm thiểu rủi ro.
Chỉnh sửa lần cuối: