Phát hiện nhiều mã độc mới qua mặt phần mềm chống mã độc

Ngày càng nhiều mã độc, biến thể vi rút được phát hiện có khả năng qua mặt các hệ thống, phần mềm bảo vệ của các hệ điều hành, thậm chí giả dạng thành các ứng dụng hợp pháp để tấn công người dùng.

Mới đây, Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Hãng Kaspersky đã phát hiện chiến dịch tấn công mã độc mới của nhóm tin tặc khét tiếng Lazarus nhắm vào các tổ chức trên toàn thế giới.

Mã độc giả mạo phần mềm hợp pháp

Nhóm GReAT đã phát hiện một chuỗi cuộc tấn công mạng, trong đó các mục tiêu bị lây nhiễm qua phần mềm độc hại giả dạng phần mềm hợp pháp, được thiết kế để mã hóa lưu lượng truy cập web bằng chứng thư số (digital certificate).

Tuy nhiên các tổ chức trên toàn thế giới tiếp tục sử dụng phiên bản phần mềm bị trục trặc ngay cả sau khi các lỗ hổng được phát hiện và vá, điều này tạo cơ hội cho nhóm Lazarus thực hiện hành vi tấn công mạng.

Những kẻ tấn công mạng kiểm soát nạn nhân bằng phần mềm độc hại SIGNBT và sử dụng những kỹ thuật lẩn trốn tinh vi để tránh bị phát hiện. Ngoài việc đóng vai trò là điểm lây nhiễm đầu tiên, phần mềm độc hại này còn thu thập thông tin nhằm lập hồ sơ nạn nhân.

Các cuộc điều tra sâu hơn tiết lộ phần mềm độc hại của nhóm Lazarus nhiều lần nhắm đến nhà cung cấp phần mềm. Tần suất các cuộc tấn công diễn ra liên tục cho thấy động cơ phá vỡ chuỗi cung ứng phần mềm và quyết tâm đánh cắp mã nguồn quan trọng của công ty của nhóm tin tặc này.

“Các cuộc tấn công liên tục của nhóm tin tặc Lazarus là minh chứng cho việc thay đổi chiến thuật và nỗ lực tấn công của tội phạm mạng. Chúng hoạt động trên quy mô toàn cầu, nhắm mục tiêu vào nhiều ngành công nghiệp với nhiều phương thức hoạt động tinh vi.

Điều này cho thấy mối đe dọa vẫn còn hiện hữu và đòi hỏi mọi người sự cảnh giác cao độ”, ông Seongsu Park - trưởng bộ phận nghiên cứu bảo mật thuộc GReAT tại Kaspersky - cho biết.

Việt Nam là một trong những đích ngắm

Theo Công ty an ninh mạng Bkav, trong quý 3-2023, biến thể mới của nhiều dòng vi rút đánh cắp dữ liệu nổi tiếng như RedLine, Erbium... có xu hướng sử dụng các kỹ thuật qua mặt phần mềm diệt vi rút (AV) bằng cách giả mạo chữ ký số và lợi dụng tiến trình chuẩn trên máy tính trong các chiến dịch tấn công mới.

Những phần mềm diệt vi rút chỉ có chức năng quét tập tin thông thường, dễ bỏ qua các chương trình có chữ ký số. Lợi dụng kẽ hở này, hacker tạo ra vi rút giả mạo chữ ký số để qua mặt các AV này. Chỉ trong vài giây, vi rút có thể lây lan, đánh cắp dữ liệu và gửi về máy chủ, gây ra những thiệt hại khôn lường cho tổ chức, doanh nghiệp.

Các chuyên gia cho biết Việt Nam nằm trong số những quốc gia là đích nhắm tấn công bởi vi rút Erbium cùng với Mỹ, Pháp, Colombia, Tây Ban Nha, Ý, Ấn Độ và Malaysia. Erbium là phần mềm độc hại đánh cắp thông tin, được phát tán dưới dạng cài cắm trong các sản phẩm crack/cheat game để lấy cắp thông tin đăng nhập, thông tin ví tiền điện tử của nạn nhân.

Ông Nguyễn Tiến Đạt - tổng giám đốc Trung tâm nghiên cứu mã độc của Bkav - phân tích: “Vi rút và các biến thể của chúng ngày càng trở nên tinh vi hơn. Phần mềm diệt vi rút thông thường sẽ khó giải quyết được chúng.

Người dùng nên lựa chọn sử dụng các giải pháp, phần mềm diệt vi rút có bản quyền, sử dụng công nghệ AI, tích hợp nhiều chức năng bảo vệ, đồng thời được cập nhật và hỗ trợ thường xuyên từ nhà cung cấp chuyên nghiệp để được bảo vệ toàn diện”.