Mã độc Dharma giả làm phần mềm diệt virus để đánh lừa người dùng

Kể từ khi được phát giác lần đầu vào năm 2016, mã độc Dharma (hay còn xem là Đạt Ma) đã không ngừng phát triển và liên tục “đòi tiền chuộc” từ người sử dụng Internet trên toàn thế giới.

Gần đây, các chuyên gia từ Trend Micro đã phát hiện hình thái tiến công mới từ loại mã độc này: ngụy trang như phần nào mềm an toàn  để người dùng tải về máy, sau đó mới phát tán mã độc tống tiền.

Hậu quả thật lớn được ghi nhận là vào tháng 11 năm 2018 khi mã độc này làm tê liệt toàn bộ hệ thống của 1 bệnh viện bang Texas, Mỹ. Dharma đã mã hóa gần như toàn bộ hồ sơ lưu trữ, vận may là bệnh viện này sau kia đã cũng có thể phục hồi dữ liệu mà không thanh toán tiền chuộc.

Hình thái mới được phát giác gần đây của Dharma sử dụng giao diện cài đặt của ứng dụng diệt virus ESET, đây được coi như là một cách “tung hỏa mù” của mã độc này khiến nạn nhân mất cảnh giác.

Mã độc này được những hacker phân tán trên mạng Internet thông qua hình thức spam email có đính kèm Dharma lưu trữ dưới dạng nhị phân, mỗi email đi kèm mật khẩu riêng, trong đó sẽ có một định dạng file là Defender.exe.

Minh họa cách mã độc Dharma phát tán.

Hacker cung cấp mật khẩu để mở tệp độc hại đính kèm trong email spam khiến nạn nhân tò mò mở file, từ đó truyền nhiễm mã độc Dharma trên máy của họ.

Một email spam phát tán Dharma.

Mỗi khi file Defender.exe được nạn nhân bấm vào, nó sẽ hiển thị bằng giao diện cài đặt cũ của ứng dụng diệt virus ESET dưới tên là Defender_nt32_othy.exe, và đi đôi là một file taskhost.exe được thêm vào thư mục tự động khởi chạy. Đây chính là lúc Dharma cài đặt và bắt đầu tiến độ mã hóa dữ liệu của nạn nhân cho mục đích tống tiền.

Thư mục được bung file và xuất hiện taskhost.exe (mã độc Dharma).

Phần mềm diệt virus ESET do mã độc Dharma ngụy trang sẽ tiến cài hành cài đặt tự động khi được kích hoạt trong thư mục đã giải nén, trong lúc sự chú ý tập trung vào việc cài đặt thì mã độc Dharma sẽ mã hóa các nội dung 1 cách thầm lặng mà nạn nhân không hề hay biết.

Giao diện cài đặt phần mềm ESET.

Các bài test cho thấy mã độc Dharma đang mã hóa các file trong máy tính bằng cách thêm đuôi mở rộng ETH, cùng theo đó đi kèm email để liên lạc với kẻ đã tiến công và mã hóa máy tính của nạn nhân Engima1crypt@aol.com.

Các file bị mã độc Dharma mã hóa.

Sau khi tiến trình mã hóa dữ liệu hoàn thành, nạn nhân sẽ liên tục thu được thông báo từ Hacker như sau:

Màn hình hiển thị thông báo từ máy tính nạn nhân.

Theo như báo cáo từ những chuyên gia bảo mật Trend Micro về mã độc Dharma, các mã độc này vẫn sẽ mã hóa file dữ liệu cho dù chẳng cần phải bắt đầu tiến độ cài đặt. Mã độc gây hại này chạy trên một phiên bản khác với cài đặt phần mềm, vì thế chúng gần như chẳng liên quan gì nhau.

Quá trình cài đặt thực chất là một đòn “dương Đông kích Tây” để gạt gẫm nạn nhân rằng không có hoạt động gây hư tổn nào đang diễn ra cả mà bạn chỉ đang cài phần mềm bảo vệ máy tính thôi.

Trong quá khứ, tội phạm mạng đã sử dụng các công cụ xác thực, và chiến thuật mới của Dharma về việc sử dụng trình cài đặt từ một phiên bản diệt virus cũ cũng có thể là một khuynh hướng tiến công mới mà những hacker đang muốn hướng đến trong tương lai.

Làm thế nào để phòng chống mã độc?

Để chuẩn bị tốt nhất và phòng ngừa cho trường hợp bị mã độc Dharma tấn công, các chuyên gia bảo mật từ Trend Micro khuyên người sử dụng và các tổ chức nên có những phòng thủ như sau:

Bảo vệ an toàn cổng email, không nhấn vào những rmail không rõ nguồn gốc hoặc có vẻ đáng nghi ngờ; Thường xuyên sao lưu các dữ liệu trên máy tính; Luôn cập nhật thường xuyên ứng dụng diệt virus phiên bản mới nhất, kể cả cả bản vá.

Thực thi nguyên tắc đặc quyền tối thiểu: Người dùng, máy tính hay phần mềm chỉ được cấp các quyền hạn đủ để thực hành yêu cầu, công việc của họ. Ngoài ra, khống chế chặt chẽ việc cấp thêm quyền hạn mới và tịch thu các quyền hạn không được dùng tới.

Bảo mật theo chiều sâu: bảo mật theo nhiều lớp luôn sẽ giúp nhiều cho việc kiểm soát ứng dụng và quan sát hành vi giúp chống lại các sửa đổi không mong muốn hay khi mở những file bất thường; Phổ biến kiến thức an ninh sử dụng internet thường xuyên cho công sở làm việc.