“Hóa đơn giả” mở đường cho siêu mã độc XWorm tấn công máy tính
Các nhóm tin tặc đang sử dụng email hóa đơn giả mạo để phát tán XWorm - loại mã độc điều khiển từ xa có khả năng đánh cắp mật khẩu, thông tin đăng nhập và dữ liệu nhạy cảm mà nạn nhân không hề hay biết cho đến khi bị chiếm quyền hệ thống.
Các tin tặc đang lợi dụng những email thông báo thanh toán tưởng như vô hại để cài cắm XWorm - một loại mã độc truy cập từ xa (RAT) có khả năng đánh cắp dữ liệu và kiểm soát toàn bộ máy tính bị nhiễm.
Khi người dùng mở tệp đính kèm dạng Visual Basic Script (VBS), mã độc sẽ âm thầm kích hoạt và vận hành hoàn toàn trong nền mà không hiển thị bất kỳ cảnh báo nào. Chính vì hoạt động lặng lẽ như vậy, XWorm được đánh giá là đặc biệt nguy hiểm do nạn nhân thường chỉ phát hiện sự cố sau khi thông tin đã bị rò rỉ hoặc thiết bị bị xâm nhập sâu.
Một khi xâm nhập thành công, XWorm sẽ trao cho kẻ tấn công quyền điều khiển toàn diện thiết bị, từ ghi lại thao tác bàn phím, theo dõi hoạt động người dùng, đánh cắp dữ liệu cá nhân cho đến cài đặt thêm những mối đe dọa thứ cấp như mã độc tống tiền.
Tất cả bắt đầu bằng một email có hình thức “hợp lệ”, thường do một người tự xưng là nhân viên kế toán gửi kèm lời đề nghị kiểm tra hóa đơn đã xử lý. Nội dung lịch sự và tệp đính kèm trông như tài liệu công việc, nhưng bên trong lại chứa file .vbs kích hoạt mã độc ngay khi được mở.
Giới chuyên môn nhận định, chiến thuật này tinh vi ở chỗ kẻ tấn công khai thác những định dạng tệp đã lỗi thời, ít khi xuất hiện trong hoạt động doanh nghiệp hiện nay. Phần lớn hệ thống email doanh nghiệp thường tự động chặn file .vbs, nhưng nếu một tệp như vậy vượt qua được bộ lọc, nguy cơ thiệt hại sẽ rất lớn.
Trong quá trình điều tra, các chuyên gia từ Malwarebytes - Công ty phần mềm bảo mật máy tính (Hoa Kỳ) đã xác định tệp độc hại đính kèm email chính là Backdoor.XWorm. Đây là loại mã độc được vận hành theo mô hình “malware-as-a-service”, nghĩa là tội phạm mạng có thể thuê hoặc mua quyền sử dụng hạ tầng điều khiển XWorm để thu thập dữ liệu đánh cắp.
Mô hình kinh doanh này giúp hạ thấp rào cản kỹ thuật, khiến nhiều đối tượng không am hiểu công nghệ vẫn có thể triển khai chiến dịch tấn công tinh vi, từ đó mở rộng quy mô đe dọa với cá nhân lẫn tổ chức.
Điểm khác thường trong chiến dịch mới nằm ở chỗ, tin tặc vẫn trung thành với tệp VBS - loại file rất hiếm khi được doanh nghiệp hiện đại sử dụng. Dù vậy, khi tệp lọt qua bộ lọc email, kịch bản lây nhiễm được kích hoạt ngay lập tức. Script độc hại sẽ thả một tệp batch có tên IrisBud.bat vào thư mục tạm của Windows, sau đó sử dụng Windows Management Instrumentation (WMI) để thực thi một cách tàng hình, không để lại dấu vết trực quan. Quá trình lây nhiễm khởi đầu đơn giản nhưng nhanh chóng trở nên phức tạp qua nhiều tầng mã hóa và che giấu.
Sự trở lại của XWorm cho thấy, tội phạm mạng tiếp tục tận dụng những chiêu thức cũ nhưng khai thác tâm lý chủ quan của người dùng trong môi trường doanh nghiệp. Khi chỉ một email hóa đơn giả cũng có thể mở đường cho một chuỗi tấn công phức tạp, các tổ chức được khuyến cáo tăng cường bộ lọc email, hạn chế định dạng tệp nguy hiểm và đào tạo nhân viên nhận diện sớm dấu hiệu lừa đảo nhằm giảm thiểu rủi ro./.
