Cảnh báo email giả mạo khảo sát cài mã độc Linux vào hệ thống Windows
Theo Bleeping Computer, các nhà nghiên cứu bảo mật tại Securonix (Mỹ) đã phát hiện ra một chiến dịch tấn công mạng mới có tên CRON#TRAP đang nhắm vào nhiều tổ chức thông qua email giả mạo (quishing). Nhiều công ty bảo hiểm, ngành dịch vụ - CSKH, kinh doanh thường gửi các email khảo sát đến khách hàng nhằm ghi nhận những ý kiến, phản hồi. Lợi dụng điều đó khiến người dùng bỏ qua cảnh giác, tin tặc đã gửi email khảo sát giả mạo đến người dùng nhằm chiếm đoạt tài khoản và đánh cắp thông tin. Email lừa đảo sẽ kèm theo một tập tin ZIP dung lượng lớn 285 MB chứa máy ảo Linux với mã độc được cài đặt sẵn. Khi người dùng giải nén tập tin này, một lệnh PowerShell sẽ tự động kích hoạt, giải nén dữ liệu và cài đặt máy ảo vào hệ thống Windows.
Cách thức hoạt động của mã độc Linux
Máy ảo Linux này hoạt động thông qua công cụ QEMU - một phần mềm hợp pháp nên không gây ra cảnh báo bảo mật. Quá trình cài đặt còn hiển thị một hình ảnh lỗi giả mạo, tạo cảm giác rằng liên kết khảo sát đã bị lỗi, nhằm đánh lạc hướng nạn nhân trong khi mã độc ngầm vận hành bên trong máy ảo.
Máy ảo độc hại này chứa một công cụ gọi là Chisel, cho phép duy trì kênh liên lạc bảo mật thông qua giao thức HTTP và SSH với máy chủ điều khiển của kẻ tấn công. Qua đó, các tin tặc có thể truy cập hệ thống từ xa mà không bị tường lửa ngăn chặn. Tin tặc cũng có thể sử dụng các lệnh như "get-host-shell" để mở giao diện dòng lệnh trên hệ thống hoặc "get-host-user" để xác định quyền hạn của người dùng, giúp tăng cường khả năng điều khiển và thực hiện nhiều thao tác nguy hiểm như giám sát, lấy cắp dữ liệu hoặc cài thêm mã độc.
Để duy trì quyền truy cập lâu dài, mã độc tự động khởi động lại cùng hệ thống mỗi khi thiết bị bật lại. Công cụ còn tự động tạo các khóa SSH, cho phép mã độc bỏ qua bước xác thực mỗi lần đăng nhập lại, duy trì kết nối lâu dài với hệ thống của nạn nhân.
Cần làm gì để phòng chống mã độc Linux?
Trước những mối đe dọa từ CRON#TRAP, các chuyên gia bảo mật khuyến cáo doanh nghiệp nên giám sát các tiến trình đáng ngờ như "qemu.exe" xuất hiện trong thư mục dễ truy cập của người dùng, đồng thời đưa QEMU và các công cụ ảo hóa vào danh sách chặn. Với những thiết bị quan trọng, nên vô hiệu hóa tính năng ảo hóa trong BIOS để ngăn ngừa mã độc lợi dụng. Tăng cường xác thực vật lý với khóa bảo mật nhằm ngăn chặn tin tặc lợi dụng mã độc đánh cắp tài khoản và thông tin đăng nhập.
Xem thêm: Bộ Giải pháp và Dịch vụ bảo mật từ HPT
Mã độc Linux là một loại tấn công mạng nguy hiểm, gây ra nhiều rủi ro bảo mật cho doanh nghiệp. Thông tin và dữ liệu bị đánh cắp, hoạt động kinh doanh bị gián đoạn ảnh hưởng nghiêm trọng về mặt tài chính và uy tín của công ty. Do đó, các doanh nghiệp cần nâng cao cảnh giác trước các thủ đoạn lừa đảo nguy hiểm và tăng cường các giải pháp bảo mật, giám sát An toàn thông tin cho hệ thống ninh mạng của doanh nghiệp.
Xem thêm: HCapollo – Giải pháp giám sát và cảnh báo ATTT
Tham khảo từ nguồn: Báo Thanh Niên