Choose your language
VNCDN Products
CDN
SECUMAIL Products
Other Products
Solutions

Email: contact@vnetwork.vn

Hotline: (028) 7306 8789

Cảnh báo với email "đòi nợ" chứa mã độc tấn công máy tính người dùng

14/08/2019
Cảnh báo với email "đòi nợ" chứa mã độc tấn công máy tính người dùng

“Khi người dùng giải file nén .rar được đính kèm trong email “đòi nợ”, đồng nghĩa với việc máy tính của họ đã bị cài mã độc, thậm chí là bị chiếm quyền điều khiển từ xa” – Theo chuyên gia bảo mật của CyRadar 

Cách đây không lâu một chiến dịch tấn công mạng dưới hình thức email lừa đảo đính kèm mã độc đã bị phát hiện. Cụ thể, email này được đến từ một địa chỉ email lạ với tiêu đề “Hóa đơn tiền nợ!”, trong email còn được đính kèm tệp dạng nén “Hoa don tien no”.

Qua phân tích sơ bộ của các chuyên gia CyRadar đã xác định file đính kèm thư điện tử này có chứa mã độc.  Khi người dùng giải nén file thì đồng nghĩa với việc máy tính của người dùng đó đã bị cài mã độc, bị chiếm quyền điều khiển, có thể nhận lệnh truy cập từ xa thông qua máy chủ “hxxps://api.ciscofreak[.]com/jZHP”. 

Chiến dịch tấn công mạng qua email lừa đảo đính kèm mã độcChiến dịch tấn công mạng qua email lừa đảo đính kèm mã độc

*Xem thêm: 91% các cuộc tấn công APT đều bắt nguồn từ email lừa đảo

Sau một thời gian, các chuyên gia CyRadar cũng đã thực hiện phân tích sâu về kỹ thuật tấn công của hacker đã sử dụng trong chiến dịch tấn công qua email “đòi nợ” này. Các chuyên gia cho biết, sau khi giải nén sẽ có 2 file thông tin như sau:

File có tên là “Noi dung de nghi thanh toan. Cong hoa xa hoi chu nghia Viet Nam Doc lap tu do hanh phuc.exe”, đây là file Winword.exe “sạch” đã được hacker lợi dụng để cài mã độc bằng kỹ thuật DLL SideLoading - một kỹ thuật tấn công được sử dụng phổ biến trong giới hacker trong thời gian gần đây nhằm vượt qua “hàng rào” bảo vệ của các phần mềm diệt virus.

Chi tiết hơn, DLL SideLoading bao gồm một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng giúp thực thi mã ngoài ý muốn.

VirusTotal khẳng định đây là một file "winword.exe" chuẩn của MicrosoftVirusTotal khẳng định đây là một file "winword.exe" chuẩn của Microsoft

Cùng với file “wwlib.dll”, các chuyên gia CyRadar xác định, đây là file .dll mạo danh thư viện Microsoft. Đặc biệt, file này không được tìm thấy trên “thư viện” virustotal.com, có nghĩa mã độc này hoàn toàn mới đã được hacker sử dụng trong chiến dịch này.

Đáng chú ý, tấn công mạng qua email để phát tán mã độc không phải là hình thức tấn công mới. Tuy nhiên, cho đến nay vẫn không ít người dùng Việt Nam “sa bẫy” của hacker. Lý giải nguyên nhận của tình trạng này, chuyên gia CyRadar đã cho rằng: “Chủ yếu là do sự lơ là, mất cảnh giác cũng như vì ý thức bảo mật thông tin của người dùng còn hạn chế, vì thế mà không ít người dùng đã bị lừa”.

Các chuyên gia bảo mật cũng khuyến nghị rằng, với người dùng thư điện tử phải đặc biệt chú ý đến những địa chỉ email của người gửi, nếu email đó là email lạ và không liên quan đến hoạt động công việc của mình thì tuyệt đối không mở. Đặc biệt, người dùng cũng cần phải hết sức cẩn thận với những tệp đính kèm trong email vì không thể biết được bên trong sẽ chứa những gì, nếu vì tò mò mà nhấp tải file, hậu quả sẽ rất khó lường.

Để đảm bảo an toàn cho hệ thống cũng như dữ liệu quan trọng, doanh nghiệp cần trang bị những giải pháp bảo mật phòng chống mã độc hiệu quả, kể cả đó là một loại mã độc hoàn toàn mới.

Tổng hợp