top of page
Tìm kiếm

Cảnh báo toàn cầu: Chiến dịch mã độc qua WhatsApp đang nhắm tới người dùng máy tính

Các nhà nghiên cứu của Kaspersky vừa phát hiện một chiến dịch phát tán mã độc qua WhatsApp quy mô lớn tại nhiều quốc gia, bao gồm Việt Nam. Tin tặc sử dụng các tài khoản WhatsApp đã bị xâm nhập để gửi tệp VBScript giả mạo tài liệu công việc, từ đó cài đặt công cụ quản trị từ xa và giành quyền kiểm soát máy tính của nạn nhân.

WhatsApp đang trở thành một trong những kênh bị tội phạm mạng lợi dụng để phát tán mã độc. Theo báo cáo mới nhất từ Kaspersky, một chiến dịch tấn công quy mô lớn đang sử dụng các tài khoản WhatsApp bị chiếm quyền để gửi tệp độc hại đến danh bạ của nạn nhân. Điểm đáng chú ý là các tệp này được ngụy trang dưới dạng tài liệu quen thuộc trong môi trường doanh nghiệp, khiến người dùng dễ mất cảnh giác khi mở chúng.

Chiến dịch phát tán mã độc qua WhatsApp hoạt động như thế nào?

Theo Kaspersky, các cuộc tấn công bắt đầu bằng những tin nhắn được gửi từ các tài khoản WhatsApp đã bị xâm nhập trước đó. Nội dung tin nhắn thường chỉ chứa một tệp VBScript được đặt tên giống các loại tài liệu thường gặp như báo cáo tài chính, hóa đơn thanh toán hoặc thông báo liên quan đến tài khoản.

Ví dụ về các tin nhắn WhatsApp chứa tập tin VBScript độc hại. Nguồn: bài đăng của nạn nhân trên mạng xã hội.
Ví dụ về các tin nhắn WhatsApp chứa tập tin VBScript độc hại. Nguồn: Bài đăng của nạn nhân trên mạng xã hội.

Các mẫu tệp được ghi nhận sử dụng nhiều ngôn ngữ khác nhau, cho thấy chiến dịch đang nhắm đến người dùng tại nhiều khu vực trên thế giới. Dữ liệu của Kaspersky ghi nhận hoạt động tại Brazil, Ấn Độ, Mexico, Singapore, Anh, Tây Ban Nha, Đài Loan, Australia, Nga, Việt Nam và Malaysia.

Điều gì xảy ra sau khi người dùng mở tệp đính kèm?

Khi nạn nhân tải xuống và thực thi tệp VBScript trên hệ điều hành Windows, một chuỗi lây nhiễm sẽ được kích hoạt.

Tệp ban đầu sẽ tải thêm các tập lệnh từ hạ tầng của kẻ tấn công. Những tập lệnh này thực hiện thay đổi Registry nhằm vô hiệu hóa một số cơ chế bảo vệ của Windows, sau đó tải về một tệp ZIP chứa phần mềm ManageEngine Endpoint Central.

Nội dung của tệp ZIP
Nội dung của tệp ZIP

ManageEngine Endpoint Central vốn là một công cụ quản trị hệ thống hợp pháp được nhiều doanh nghiệp sử dụng. Tuy nhiên, trong chiến dịch này, phần mềm bị lợi dụng để thiết lập kết nối với các máy chủ do kẻ tấn công kiểm soát, từ đó cho phép chúng quản trị từ xa trên máy tính của nạn nhân.

Vì sao cuộc tấn công này đáng lo ngại?

Yếu tố nguy hiểm nhất nằm ở việc các tin nhắn được gửi từ những tài khoản WhatsApp thật đã bị chiếm quyền. Do người nhận nhìn thấy tin nhắn đến từ người quen hoặc đối tác trong danh bạ, khả năng mở tệp đính kèm thường cao hơn so với các hình thức lừa đảo truyền thống.

Tổng quan về chuỗi tấn công qua whatsapp
Tổng quan về chuỗi tấn công

Kaspersky cũng lưu ý rằng khi tệp VBScript được gửi qua ứng dụng WhatsApp Desktop, người dùng có thể vô tình thực thi trực tiếp thông qua Windows Script Host (wscript.exe), làm tăng nguy cơ lây nhiễm nếu không nhận biết được dấu hiệu bất thường.

Kaspersky đã phát hiện những dấu hiệu nào về nguồn gốc chiến dịch?

Tại thời điểm công bố báo cáo, Kaspersky chưa quy trách nhiệm chiến dịch này cho bất kỳ nhóm tin tặc cụ thể nào.

Trong quá trình điều tra, các nhà nghiên cứu ghi nhận một số dấu hiệu liên quan đến việc sử dụng ngôn ngữ tiếng Trung và phát hiện sự chồng lấn hạ tầng với một số địa chỉ IP từng được liên kết với hoạt động của ValleyRAT và Gh0st RAT. Tuy nhiên, Kaspersky cho biết hiện chưa có đủ bằng chứng để đưa ra kết luận với độ tin cậy cao.

Người dùng WhatsApp cần làm gì để bảo vệ thiết bị?

Các chuyên gia khuyến nghị người dùng cần thận trọng với mọi tệp được gửi qua WhatsApp, ngay cả khi chúng đến từ những liên hệ quen thuộc.

Trước khi mở tài liệu hoặc tệp đính kèm, nên xác minh lại với người gửi thông qua một kênh liên lạc khác nếu thấy bất thường. Đồng thời, tất cả tệp tải xuống cần được kiểm tra bằng phần mềm bảo mật đã được cập nhật trước khi thực thi.

Ngoài ra, người dùng nên đặc biệt cẩn trọng với các định dạng tệp có khả năng thực thi như .vbs, .exe, .bat hoặc các tập lệnh không rõ nguồn gốc.

Những câu hỏi thường gặp về chiến dịch mã độc qua WhatsApp

Tệp VBScript là gì?

VBScript là một ngôn ngữ kịch bản được Windows hỗ trợ để tự động hóa một số tác vụ. Tin tặc thường lợi dụng loại tệp này để thực thi mã độc trên máy tính nếu người dùng mở tệp.

WhatsApp có bị xâm nhập hay không?

Theo thông tin hiện tại, Kaspersky chỉ xác nhận các tài khoản WhatsApp của người dùng đã bị chiếm quyền và bị lợi dụng để phát tán tệp độc hại. Báo cáo không cho thấy nền tảng WhatsApp bị xâm nhập ở cấp độ hệ thống.

Người dùng tại Việt Nam có bị ảnh hưởng không?

Có. Việt Nam nằm trong danh sách các quốc gia mà Kaspersky ghi nhận hoạt động của chiến dịch phát tán mã độc này.

Chiến dịch mã độc qua WhatsApp mới được Kaspersky phát hiện cho thấy tội phạm mạng đang ngày càng tận dụng các nền tảng liên lạc phổ biến để phát tán mã độc và mở rộng phạm vi tấn công. Việc sử dụng các tài khoản đã bị chiếm quyền cùng những tệp giả mạo tài liệu doanh nghiệp khiến nguy cơ người dùng mắc bẫy cao hơn. Trong bối cảnh đó, thói quen kiểm tra kỹ nguồn gửi và quét bảo mật trước khi mở tệp vẫn là lớp phòng vệ quan trọng giúp giảm thiểu rủi ro mất quyền kiểm soát thiết bị.

Nguồn tham khảo:

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
png-clipart-iso-iec-27001-information-security-management-iso-iec-27002-international-orga
soc 2 type ii

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page