-
09/04/2020
-
110
-
1.071 bài viết
Chiến dịch lừa đảo dùng tin nhắn thoại giả để phát tán phần mềm gián điệp RAT
Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch phishing quy mô toàn cầu đang lợi dụng email, giả mạo tin nhắn thoại và đơn hàng để phát tán một phần mềm độc hại có tên UpCrypter. Mục tiêu chính của chiến dịch là cài đặt các RAT (Remote Access Tool) cho phép tin tặc toàn quyền kiểm soát máy tính nạn nhân.
Kẻ tấn công gửi email giả danh thông báo voicemail (tin nhắn thoại) hoặc đơn hàng, trong email chứa các đường link đến các trang web giả mạo.
Điểm tinh vi là:
UpCrypter không trực tiếp phá hoại, mà giống một “trạm trung chuyển”. Nó có thể:
Chiến dịch này được ghi nhận từ đầu tháng 8/2025, chủ yếu nhắm đến các ngành: Sản xuất, công nghệ, y tế, xây dựng, bán lẻ và khách sạn. Các quốc gia bị ảnh hưởng nhiều gồm: Áo, Belarus, Canada, Ai Cập, Ấn Độ và Pakistan.
Đây không phải vụ đơn lẻ, Check Point cũng phát hiện một chiến dịch phishing lớn lợi dụng Google Classroom để gửi hơn 115.000 email giả mạo đến 13.500 tổ chức, nhằm vượt qua các lớp bảo mật email truyền thống (SPF, DKIM, DMARC). Xu hướng chung là tin tặc tận dụng dịch vụ hợp pháp (Google, Microsoft 365, OneNote, Discord, Zoom…) để che giấu, gọi là “living-off-trusted-sites” (LOTS).
Vì sao không thể xem thường chiến dịch này:
Kẻ tấn công gửi email giả danh thông báo voicemail (tin nhắn thoại) hoặc đơn hàng, trong email chứa các đường link đến các trang web giả mạo.
Điểm tinh vi là:
- Trang web hiển thị logo và tên miền công ty của nạn nhân, khiến chúng trông “chính chủ”.
- Người dùng bị dụ tải về file ZIP, bên trong là một tập tin JavaScript bị che giấu mã độc.
UpCrypter không trực tiếp phá hoại, mà giống một “trạm trung chuyển”. Nó có thể:
- Tải xuống các loại RAT như PureHVNC RAT, DCRat, Babylon RAT.
- Dùng kỹ thuật steganography (giấu dữ liệu trong ảnh) để che giấu mã độc.
- Chạy mã độc ngay trong bộ nhớ mà không ghi ra ổ cứng, giúp tránh bị phát hiện.
Chiến dịch này được ghi nhận từ đầu tháng 8/2025, chủ yếu nhắm đến các ngành: Sản xuất, công nghệ, y tế, xây dựng, bán lẻ và khách sạn. Các quốc gia bị ảnh hưởng nhiều gồm: Áo, Belarus, Canada, Ai Cập, Ấn Độ và Pakistan.
Đây không phải vụ đơn lẻ, Check Point cũng phát hiện một chiến dịch phishing lớn lợi dụng Google Classroom để gửi hơn 115.000 email giả mạo đến 13.500 tổ chức, nhằm vượt qua các lớp bảo mật email truyền thống (SPF, DKIM, DMARC). Xu hướng chung là tin tặc tận dụng dịch vụ hợp pháp (Google, Microsoft 365, OneNote, Discord, Zoom…) để che giấu, gọi là “living-off-trusted-sites” (LOTS).
Vì sao không thể xem thường chiến dịch này:
- Tính thuyết phục cao: Logo công ty, email “giả mà như thật”.
- Ẩn mình tốt: Dùng kỹ thuật chống phân tích, giấu dữ liệu trong ảnh.
- Khả năng mở rộng: UpCrypter có thể tải nhiều loại RAT khác nhau.
- Phạm vi toàn cầu: Không chỉ tấn công một nước hay một ngành.
- Cẩn thận với email lạ, đặc biệt là thông báo voicemail, hóa đơn, đơn hàng, file ZIP.
- Không tải hoặc chạy file đính kèm nếu không chắc chắn.
- Kiểm tra kỹ link trước khi click, không chủ quan hay tin vào logo hoặc tên miền hiển thị.
- Tổ chức nên bật chính sách bảo mật email nâng cao, chặn hoặc cách ly email đáng ngờ.
- Cập nhật phần mềm bảo mật và hệ điều hành để tăng khả năng phát hiện.
Theo The Hacker News