CyRadar: Xuất hiện mã độc “núp bóng” văn bản mạo danh thông báo của SWIFT

CEO Công ty CyRadar Nguyễn Minh Đức cho biết, tiến công APT tại Việt Nam đang ngày càng gia tăng về số lượng và mức độ tinh vi (Ảnh minh họa. Nguồn: Internet)

Chuyên gia Công ty CP An toàn tin tức CyRadar vừa cho biết, từ ngày 5/12, CyRadar đã ghi nhận được 1 chiến dịch APT nhắm vào các tổ chức ngân hàng trong và ngoài nước. Chiến dịch khởi điểm bằng một file văn bản .doc qua email, giả danh thông báo của SWIFT – Hiệp hội Viễn thông Liên Ngân hàng và Tài chính quốc tế.

Mã độc núp bóng 1 file văn bản mạo danh Thông báo của Hiệp hội Viễn thông Liên Ngân hàng và Tài chính Quốc tế – SWIFT (Nguồn ảnh: CyRadar)

Theo phân tích của chuyên gia CyRadar, khi người sử dụng bị xí gạt mở file và bật tính năng macro trong file văn bản thì mã độc hại được nhúng đã âm thầm tải xuống một backdoor và tự động thực thi chúng. Nó có trọng trách kết nối và nhận dữ liệu đã mã hóa từ máy chủ điều khiển, sau khi thu được dữ liệu nó triển khai giải mã và load dữ liệu lên bộ nhớ cuối cùng thực thi các hành vi độc hại tương ứng.

Sơ đồ hành vi mã độc (Nguồn ảnh: CyRadar)

Tại thời điểm phân tích, mã độc thi hành lấy dữ liệu đã mã hóa tại URL hxxps://remainsproperty[.]com/yadjuzaurhedyo, sau qui trình giải mã, phân tích nhận biết này là một file .DLL có hành vi kết nối, nhận dữ liệu từ máy server điều khiển rồi thực thi tùy ý mã độc hại khác từ máy chủ điều khiển đẩy xuống.

“Có thể thấy này là loại mã độc tinh vi vì mã độc chưa được đóng gói thành 1 file như các loại mã độc thông thường mà nó nhận dữ liệu mã hóa từ máy chủ điều khiển rồi giải mã, thực thi ngay trên bộ nhớ. Điều này sẽ làm các phần mềm diệt virus khó cũng đều có thể mà phát hiện được”, chuyên gia CyRadar nhận định.

Cũng trong thông tin cảnh báo về chiến dịch tấn công mới nhằm vào các ngân hàng trong và ngoài nước, chuyên gia CyRadar khuyến nghị, nhân viên các ngân hàng và tổ chức tài chính cần hết sức lưu ý trước khi mở một file văn bản được gửi đến cho mình mà bạn không thực sự hiểu lý do xuất hiện của nó, đặc biệt là trong những ngày này, khi thế giới đang ghi nhận một chiến dịch tấn công rộng khắp nhắm tới các ngân hàng và tổ chức tài chính.

Trên thực tế, đúng như dự đoán của các chuyên gia bảo mật từ cuối năm ngoái, trong hơn 11 tháng đầu năm nay chỉ ra rằng tấn công có chủ đích APT thực sự là một trong số xu hướng tiến công mạng nổi bật của năm 2018. Thậm chí, CyRadar từng nhận xét, có những cuộc tấn công APT mà tại thời điểm tiến công hầu hết các hệ thống an ninh mạng của các cơ quan, tổ chức đều bị đánh bại.

Đề cập đến mối hiểm nguy từ những cuộc tấn công APT, trong trao đổi tại cuộc tọa đàm trực tuyến chủ đề “Đảm bảo an toàn tin tức trong doanh nghiệp thời chuyển đổi số: Chính sách và giải pháp” được ICTnews tổ chức trung tuần tháng 11/2018, ông Nguyễn Minh Đức – CEO Công ty CyRadar nhấn mạnh, tiến công APT (Advanced Persistent Threat) tại Việt Nam đang ngày càng gia tăng về con số và mức độ tinh vi. Ngay trong vài ba tháng gần đây, CyRadar cũng từng phát hiện ra nhiều chiến dịch tấn công hùng cường vào các Tổ chức tài chính cũng như nhiều cơ quan khối Chính phủ. Ngăn chặn các cuộc tấn công đã khó, việc phát giác và ngăn chặn các cuộc tiến công APT sẽ càng khó khăn hơn. Ngay cả những doanh nghiệp lớn trên toàn cầu cũng không thoát khỏi bị tấn công cài đặt phần mềm gián điệp, âm thầm đánh cắp dữ liệu.

“Để ứng phó kịp thời với mối nguy hiểm này, tôi cho là các doanh nghiệp và tổ chức cần chủ động thành lập hệ thống phòng ngự đa lớp, đặc biệt là đầu tư vào hàng ngũ nhân sự làm an toàn tin tức và nâng cao trình độ nhận thức của toàn chuyên viên thông qua các chương trình đào tạo”, ông Nguyễn Minh Đức nêu quan điểm.