Cảnh báo: Telegram giả mạo phát tán mã độc nhiều tầng, hoạt động trực tiếp trong RAM

20 thg 3
3 phút đọc

Một chiến dịch tấn công mạng mới đang được các chuyên gia an ninh mạng cảnh báo, lợi dụng nền tảng Telegram để phát tán mã độc tinh vi. Điểm nguy hiểm nằm ở kỹ thuật “fileless malware” - mã độc chạy trực tiếp trong bộ nhớ (RAM), khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn nhiều so với các hình thức tấn công truyền thống.

Mạo danh Telegram để phát tán mã độc

Theo ghi nhận, kẻ tấn công sử dụng các phiên bản Telegram giả mạo hoặc liên kết tải về được ngụy trang tinh vi nhằm đánh lừa người dùng. Khi nạn nhân tải và cài đặt, hệ thống sẽ bị nhiễm mã độc mà không có dấu hiệu rõ ràng.

Hình thức này không mới, nhưng đang quay trở lại với mức độ tinh vi cao hơn. Trước đó, nhiều chiến dịch cũng đã lợi dụng ứng dụng hoặc trình cài đặt Telegram bị chỉnh sửa để phát tán phần mềm độc hại và kiểm soát thiết bị người dùng.

Mã độc nhiều tầng, ẩn mình trong RAM

Khác với malware thông thường lưu trên ổ cứng, biến thể lần này sử dụng kỹ thuật nhiều tầng (multi-stage attack):

Giai đoạn đầu: tải và kích hoạt mã độc ban đầu
Giai đoạn tiếp theo: giải mã và thực thi payload nâng cao
Giai đoạn cuối: chạy trực tiếp trong RAM

Việc hoạt động hoàn toàn trong bộ nhớ giúp mã độc:

Tránh bị phát hiện bởi phần mềm antivirus
Không để lại dấu vết rõ ràng trên hệ thống
Duy trì khả năng kiểm soát trong thời gian dài

Đây là xu hướng tấn công ngày càng phổ biến trong các chiến dịch APT hiện đại.

*Quy trình lây nhiễm của mã độc (theo K7 Security Labs)*

Telegram tiếp tục bị lợi dụng làm kênh phát tán

Telegram từ lâu đã trở thành một nền tảng bị nhiều nhóm tội phạm mạng lợi dụng để:

Phát tán mã độc
Điều khiển botnet
Chia sẻ công cụ tấn công

Các nghiên cứu cho thấy hệ sinh thái tội phạm trên Telegram rất rộng, với hàng triệu người dùng tham gia các kênh chia sẻ nội dung độc hại.

Ngoài ra, các lỗ hổng hoặc cơ chế xử lý liên kết trên nền tảng này cũng từng bị khai thác để thu thập thông tin người dùng chỉ với một cú nhấp chuột.

*Vượt qua lớp bảo vệ Defender (Nguồn: K7 Security Labs)*

Rủi ro đối với cá nhân và doanh nghiệp

Chiến dịch này đặc biệt nguy hiểm với:

Nhân viên doanh nghiệp sử dụng Telegram cho công việc
Người dùng tải phần mềm từ nguồn không chính thống
Hệ thống thiếu giải pháp giám sát hành vi (behavior monitoring)

Khi bị nhiễm, kẻ tấn công có thể:

Đánh cắp thông tin đăng nhập
Truy cập dữ liệu nội bộ
Triển khai các cuộc tấn công sâu hơn vào hệ thống doanh nghiệp

Khuyến nghị bảo mật

Để giảm thiểu rủi ro, các chuyên gia khuyến nghị:

Chỉ tải Telegram từ nguồn chính thức
Không mở file hoặc link lạ từ Telegram
Sử dụng giải pháp bảo mật có khả năng phát hiện hành vi bất thường
Cập nhật hệ điều hành và phần mềm thường xuyên
Triển khai giám sát SOC nếu là doanh nghiệp

Chiến dịch giả mạo Telegram lần này cho thấy xu hướng tấn công đang chuyển dịch mạnh sang các kỹ thuật “ẩn mình”, khó phát hiện. Không chỉ người dùng cá nhân, các doanh nghiệp cũng cần nâng cao cảnh giác, đặc biệt với các nền tảng liên lạc phổ biến như Telegram – nơi đang dần trở thành “điểm nóng” của các hoạt động tội phạm mạng.

Nguồn tham khảo: Whitehat, Telegram giả mạo phát tán mã độc nhiều tầng, chạy trực tiếp trong RAM