Trong thời đại công nghệ số ngày nay, các cuộc tấn công mạng ngày càng trở nên tinh vi và khó lường. Một trong những phương thức tấn công phổ biến nhất là sử dụng các bản cập nhật trình duyệt giả để phân phối phần mềm độc hại. Các nghiên cứu gần đây của các công ty an ninh mạng đã tiết lộ rằng các bản cập nhật giả này đang được sử dụng để phát tán trojans truy cập từ xa (RATs) và phần mềm đánh cắp thông tin như BitRAT và Lumma Stealer. Điều này đã gây ra nhiều vụ lây nhiễm phần mềm độc hại trên diện rộng, đe dọa sự an toàn và bảo mật của người dùng trực tuyến trên toàn cầu
Cách thức Hacker sử dụng cập nhật giả để cài đặt phần mềm độc hại
Để hiểu rõ hơn về cách thức mà các cuộc tấn công này diễn ra, chúng ta sẽ cùng phân tích chi tiết chuỗi tấn công từ lúc người dùng truy cập vào trang web bị nhiễm mã độc cho đến khi phần mềm độc hại được cài đặt trên hệ thống của họ. Việc này sẽ giúp làm sáng tỏ các bước và phương pháp mà các tác nhân đe dọa sử dụng để đánh lừa và xâm nhập vào hệ thống của người dùng.
Sơ đồ cách thức tấn công
Về cơ bản, các cuộc tấn công này diễn ra theo quy trình 6 bước sau:
Bước 1: Truy cập trang web nhiễm mã độc
Người dùng truy cập vào một trang web đã bị nhiễm mã độc mà họ không hề hay biết.
Bước 2: Chuyển hướng đến trang cập nhật giả
Trang web nhiễm mã độc sử dụng mã JavaScript để tự động chuyển hướng người dùng đến một trang cập nhật giả mạo. Trang này thường được thiết kế giống với giao diện cập nhật của các trình duyệt phổ biến để không gây nghi ngờ.
Bước 3: Tải xuống tệp ZIP từ trang cập nhật giả
Trang cập nhật giả mạo cung cấp một liên kết tải xuống tệp ZIP (Update.zip). Liên kết này thường được lưu trữ trên các nền tảng đáng tin cậy như Discord, giúp nó dễ dàng vượt qua các bộ lọc bảo mật.
Bước 4: Giải nén tệp ZIP và lấy tệp JavaScript
Người dùng tải xuống tệp ZIP từ trang cập nhật giả và giải nén tệp để lấy tệp JavaScript (Update.js) bên trong.
Bước 5: Thực thi tệp JavaScript
Khi tệp JavaScript được thực thi, nó sẽ kích hoạt các kịch bản PowerShell. Tệp này được thiết kế để lừa người dùng nghĩ rằng họ đang thực hiện một hành động hợp pháp.
Bước 6: Kịch bản PowerShell kết nối đến máy chủ từ xa
Kịch bản PowerShell kết nối đến một máy chủ từ xa được kiểm soát bởi kẻ tấn công để tải xuống các phần mềm độc hại bổ sung. Những phần mềm này thường được ngụy trang dưới dạng các tệp hình ảnh PNG để tránh bị phát hiện.
Kịch bản PowerShell tải xuống và cài đặt các phần mềm độc hại như BitRAT và Lumma Stealer vào máy tính của người dùng. BitRAT cho phép kẻ tấn công truy cập từ xa vào máy tính của nạn nhân, thu thập dữ liệu, khai thác tiền điện tử, và tải xuống thêm các tệp nhị phân. Lumma Stealer là một phần mềm đánh cắp thông tin, thu thập thông tin từ trình duyệt web, ví tiền điện tử và các thông tin nhạy cảm khác.
Phân tích các phần mềm độc hại: BitRAT và Lumma Stealer
Trong các cuộc tấn công bằng cập nhật trình duyệt giả, hai loại phần mềm độc hại phổ biến nhất được sử dụng là BitRAT và Lumma Stealer. Các bản cập nhật trình duyệt giả đã gây ra nhiều vụ lây nhiễm phần mềm độc hại. Gần đây, công ty an ninh mạng eSentire đã quan sát thấy phần mềm độc hại FakeBat được phân phối thông qua các cập nhật giả mạo vào tháng 4 năm 2024.
BitRAT là một loại phần mềm độc hại cho phép kẻ tấn công truy cập và điều khiển máy tính từ xa. Với BitRAT, kẻ tấn công có thể thu thập dữ liệu như mật khẩu và thông tin tài chính, khai thác tiền điện tử, và điều khiển máy tính của nạn nhân để thực hiện các hoạt động bất hợp pháp.
Lumma Stealer, còn gọi là LummaC2, là một phần mềm độc hại chuyên đánh cắp thông tin. Nó xuất hiện từ tháng 8 năm 2022 và có khả năng thu thập dữ liệu từ trình duyệt web và ví tiền điện tử. Sau khi thu thập dữ liệu, Lumma Stealer bán chúng trên các chợ đen, gây thiệt hại tài chính và rủi ro bảo mật cho nạn nhân.
BitRAT và Lumma Stealer có thể thực hiện được các hành vi dưới đây:
- Thu thập dữ liệu cá nhân: Cả hai phần mềm độc hại đều có thể lấy cắp mật khẩu, thông tin tài chính và tài liệu cá nhân của người dùng.
- Khai thác tài nguyên hệ thống: BitRAT có thể sử dụng máy tính của nạn nhân để khai thác tiền điện tử, làm chậm máy tính và gây hao tổn tài nguyên.
- Điều khiển từ xa: BitRAT cho phép kẻ tấn công điều khiển máy tính từ xa để thực hiện các hoạt động bất hợp pháp.
- Đánh cắp thông tin từ trình duyệt và ví tiền điện tử: Lumma Stealer thu thập dữ liệu đăng nhập và tài sản kỹ thuật số từ trình duyệt web và ví tiền điện tử của người dùng.
- Bán thông tin trên chợ đen: Lumma Stealer bán thông tin bị đánh cắp trên các chợ đen, gây ra thiệt hại tài chính và rủi ro bảo mật cho nạn nhân.
Những cuộc tấn công này thường sử dụng kỹ thuật lừa đảo để lừa người dùng sao chép và chạy mã độc trên máy tính của họ. Các trang web độc hại thường tuyên bố rằng có sự cố khi hiển thị trang web và hướng dẫn người dùng cài đặt các mã độc. Điều này có thể bao gồm việc xóa bộ nhớ đệm DNS và cài đặt phần mềm độc hại LummaC2. Theo eSentire, số lượng thông tin bị đánh cắp bởi LummaC2 đã tăng 110% từ quý 3 đến quý 4 năm 2023, cho thấy sự phổ biến và hiệu quả của nó trong việc xâm nhập hệ thống và thu thập dữ liệu mà không bị phát hiện.
Cách bảo vệ trước các cuộc tấn công bằng cập nhật giả
Để bảo vệ bản thân và hệ thống khỏi các cuộc tấn công nguy hiểm thông qua các bản cập nhật trình duyệt giả mạo, người dùng cần thực hiện các biện pháp phòng ngừa chủ động và biết cách xử lý khi gặp phải tình huống này. Dưới đây là các biện pháp và khuyến nghị cụ thể giúp bạn tránh trở thành nạn nhân của các cuộc tấn công này.
Các biện pháp phòng ngừa và bảo vệ trước các cuộc tấn công qua cập nhật giả
1.Cảnh giác với các trang web và thông báo cập nhật:
- Kiểm tra kỹ lưỡng các trang web: Tránh truy cập vào các trang web không rõ nguồn gốc hoặc không đáng tin cậy. Luôn kiểm tra URL của trang web để đảm bảo bạn đang truy cập trang chính thức.
- Không tin tưởng các thông báo cập nhật bất ngờ: Các thông báo cập nhật trình duyệt xuất hiện đột ngột khi bạn truy cập trang web không quen thuộc có thể là dấu hiệu của lừa đảo. Luôn truy cập trực tiếp vào trang web chính thức của trình duyệt để kiểm tra cập nhật.
2. Sử dụng phần mềm bảo mật đáng tin cậy:
- Cài đặt phần mềm diệt virus và bảo mật: Sử dụng các phần mềm diệt virus và bảo mật uy tín để bảo vệ máy tính của bạn. Đảm bảo rằng phần mềm diệt virus luôn được cập nhật phiên bản mới nhất.
- Kích hoạt tường lửa: Tường lửa giúp ngăn chặn các truy cập trái phép vào hệ thống của bạn và bảo vệ máy tính khỏi các mối đe dọa mạng.
3. Cập nhật hệ thống và phần mềm thường xuyên
- Cập nhật hệ điều hành và phần mềm từ nguồn chính thức: Đảm bảo rằng hệ điều hành và các ứng dụng trên thiết bị của bạn luôn được cập nhật phiên bản mới nhất từ các nguồn chính thức. Các bản cập nhật thường bao gồm các bản vá bảo mật quan trọng.
- Tắt tính năng tự động cập nhật từ nguồn không rõ: Thiết lập trình duyệt và phần mềm chỉ tự động cập nhật từ các nguồn chính thức và đáng tin cậy.
4. Tránh tải xuống và mở các tệp từ nguồn không rõ
- Kiểm tra nguồn gốc của tệp: Tránh tải xuống và mở các tệp từ các nguồn không rõ ràng hoặc không đáng tin cậy. Đặc biệt cẩn thận với các tệp ZIP và các tệp thực thi (EXE).
Khuyến nghị cho người dùng và các bước cần thực hiện khi gặp phải tình huống này
Ngắt kết nối Internet
- Ngay lập tức ngắt kết nối Internet: Nếu nghi ngờ thiết bị bị nhiễm phần mềm độc hại, ngắt kết nối Internet ngay lập tức để ngăn chặn phần mềm độc hại kết nối với máy chủ từ xa và tải xuống thêm các payload.
Quét và loại bỏ phần mềm độc hại
- Sử dụng phần mềm diệt virus: Chạy phần mềm diệt virus để quét toàn bộ hệ thống và loại bỏ bất kỳ phần mềm độc hại nào phát hiện được. Đảm bảo phần mềm diệt virus của bạn luôn được cập nhật.
Thay đổi mật khẩu
- Thay đổi tất cả các mật khẩu quan trọng: Sau khi quét và loại bỏ phần mềm độc hại, thay đổi tất cả mật khẩu của các tài khoản quan trọng như email, ngân hàng trực tuyến, và các tài khoản mạng xã hội. Sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản.
Liên hệ với chuyên gia an ninh mạng
- Tư vấn từ chuyên gia: Nếu bạn không chắc chắn về mức độ lây nhiễm hoặc cách xử lý, hãy liên hệ với chuyên gia an ninh mạng để được tư vấn và hỗ trợ. Các chuyên gia có thể giúp bạn kiểm tra và khôi phục hệ thống an toàn.
Giám sát hoạt động bất thường
- Theo dõi tài khoản và hệ thống: Giám sát các tài khoản trực tuyến và hệ thống của bạn để phát hiện kịp thời các hoạt động bất thường. Báo cáo ngay lập tức cho các dịch vụ liên quan nếu phát hiện bất kỳ dấu hiệu nào của việc lạm dụng hoặc truy cập trái phép.
Các cuộc tấn công bằng cập nhật trình duyệt giả mạo là mối đe dọa nghiêm trọng trong thế giới kỹ thuật số ngày nay. Hiểu rõ cách thức tấn công và các phần mềm độc hại như BitRAT và Lumma Stealer sẽ giúp người dùng phòng ngừa hiệu quả. Bằng cách thực hiện các biện pháp bảo vệ và biết cách xử lý khi gặp tấn công, người dùng có thể bảo vệ thông tin cá nhân và hệ thống của mình một cách hiệu quả. Nâng cao nhận thức về an ninh mạng là yếu tố quan trọng để duy trì an toàn trong môi trường kỹ thuật số.
—Ban ANTT tổng hợp—