-
09/04/2020
-
124
-
1.517 bài viết
Tin nhắn LinkedIn chứa bẫy RAT, người dùng dễ mất quyền kiểm soát máy tính từ xa
Trong khi nhiều doanh nghiệp đã quen thuộc với email lừa đảo, thì mới đây các chuyên gia an ninh mạng đã phát hiện ra hình thức tấn công phishing thông qua tin nhắn riêng trên mạng xã hội, đặc biệt là LinkedIn. Chiến dịch này nhắm vào những cá nhân có vị trí quan trọng trong tổ chức, dụ họ tải về một tệp tin tưởng như tài liệu bình thường nhưng thực chất là cửa hậu cho mã độc xâm nhập hệ thống.
Theo báo cáo của ReliaQuest, chiến dịch này được phát hiện trong quá trình giám sát các hoạt động xâm nhập bất thường. Kẻ tấn công tiếp cận nạn nhân qua tin nhắn LinkedIn, giả mạo đối tác, nhà tuyển dụng hoặc người quen trong ngành để tạo lòng tin. Sau một thời gian trao đổi, nạn nhân được gửi một file nén WinRAR tự giải nén (SFX) và được thuyết phục mở file này trên máy tính Windows.
Không giống các mã độc thông thường, chiến dịch này không khai thác lỗ hổng phần mềm cụ thể (không có CVE, không có CVSS), mà lợi dụng kỹ thuật né tránh bảo mật và niềm tin của người dùng.
Cơ chế tấn công hoạt động như thế nào?
Khi nạn nhân chạy file SFX, hệ thống sẽ giải nén và cài đặt một loạt thành phần tưởng chừng hợp pháp. Trong đó có một ứng dụng đọc PDF thật, một file DLL độc hại, trình thông dịch Python và một file giả làm mồi nhử. Ngay khi ứng dụng PDF được mở, DLL độc hại sẽ được nạp kèm theo (kỹ thuật DLL side-loading, cho phép mã độc “đi nhờ” các chương trình hợp pháp để tránh bị phát hiện).
DLL này tiếp tục cài đặt Python vào hệ thống và chỉnh sửa Registry để Python tự động chạy mỗi khi người dùng đăng nhập. Từ đây, một đoạn mã đã được mã hóa sẽ được giải mã và chạy trực tiếp trong bộ nhớ, không để lại dấu vết rõ ràng trên ổ cứng. Cuối cùng, hệ thống bị kết nối tới máy chủ điều khiển từ xa, cho phép hacker toàn quyền truy cập, đánh cắp dữ liệu và duy trì hiện diện lâu dài.
DLL này tiếp tục cài đặt Python vào hệ thống và chỉnh sửa Registry để Python tự động chạy mỗi khi người dùng đăng nhập. Từ đây, một đoạn mã đã được mã hóa sẽ được giải mã và chạy trực tiếp trong bộ nhớ, không để lại dấu vết rõ ràng trên ổ cứng. Cuối cùng, hệ thống bị kết nối tới máy chủ điều khiển từ xa, cho phép hacker toàn quyền truy cập, đánh cắp dữ liệu và duy trì hiện diện lâu dài.
Mức độ nguy hiểm và phạm vi ảnh hưởng
Chiến dịch này được đánh giá là nguy hiểm cao, bởi:
- Không cần khai thác lỗ hổng kỹ thuật, rất khó bị phần mềm diệt virus truyền thống phát hiện
- Hoạt động qua tin nhắn riêng trên mạng xã hội (nơi ít được giám sát hơn email)
- Có khả năng cài đặt RAT, cho phép hacker theo dõi, điều khiển và đánh cắp dữ liệu
Các nạn nhân thuộc nhiều ngành nghề và khu vực khác nhau, cho thấy đây là chiến dịch diện rộng, mang tính cơ hội.
Người dùng và doanh nghiệp cần lưu ý gì?
Các chuyên gia an ninh mạng khuyến cáo:
- Không tải hoặc mở file nhận qua LinkedIn, Facebook, Zalo… nếu không thể xác minh rõ nguồn gốc
- Cảnh giác với các lời mời hợp tác, tuyển dụng yêu cầu mở file hoặc chạy chương trình
- Doanh nghiệp cần xem mạng xã hội là một bề mặt tấn công, không chỉ tập trung bảo mật email
- Tăng cường giám sát hành vi bất thường, đặc biệt là các kỹ thuật như DLL side-loading và mã chạy trong bộ nhớ
Vụ việc một lần nữa cho thấy tấn công mạng ngày nay không còn phụ thuộc vào lỗ hổng phần mềm mà tập trung vào hành vi người dùng và các kênh ít được bảo vệ. Khi mạng xã hội ngày càng gắn chặt với công việc, việc coi nhẹ bảo mật trên các nền tảng này có thể khiến cả hệ thống doanh nghiệp bị xâm nhập chỉ từ một tin nhắn riêng tưởng chừng vô hại.
WhiteHat