Mã độc Linux được cài vào hệ thống Windows thông qua email khảo sát giả mạo

Digital Signage và tầm quan trọng trong truyền thông doanh nghiệp

Các doanh nghiệp đang sử dụng máy ảo Linux cần chú ý an ninh mạng. Một loại mã độc có thể đang ẩn mình trong hệ thống, khai thác lỗ hổng bảo mật Windows và tấn công máy chủ bất cứ lúc nào khi người dùng tải xuống các tập tin lạ từ email khảo sát giả mạo.

Cảnh báo email giả mạo khảo sát cài mã độc Linux vào hệ thống Windows

Theo Bleeping Computer, các nhà nghiên cứu bảo mật tại Securonix (Mỹ) đã phát hiện ra một chiến dịch tấn công mạng mới có tên CRON#TRAP đang nhắm vào nhiều tổ chức thông qua email giả mạo (quishing). Nhiều công ty bảo hiểm, ngành dịch vụ - CSKH, kinh doanh thường gửi các email khảo sát đến khách hàng nhằm ghi nhận những ý kiến, phản hồi. Lợi dụng điều đó khiến người dùng bỏ qua cảnh giác, tin tặc đã gửi email khảo sát giả mạo đến người dùng nhằm chiếm đoạt tài khoản và đánh cắp thông tin. Email lừa đảo sẽ kèm theo một tập tin ZIP dung lượng lớn 285 MB chứa máy ảo Linux với mã độc được cài đặt sẵn. Khi người dùng giải nén tập tin này, một lệnh PowerShell sẽ tự động kích hoạt, giải nén dữ liệu và cài đặt máy ảo vào hệ thống Windows.

Cách thức hoạt động của mã độc Linux 

Máy ảo Linux này hoạt động thông qua công cụ QEMU - một phần mềm hợp pháp nên không gây ra cảnh báo bảo mật. Quá trình cài đặt còn hiển thị một hình ảnh lỗi giả mạo, tạo cảm giác rằng liên kết khảo sát đã bị lỗi, nhằm đánh lạc hướng nạn nhân trong khi mã độc ngầm vận hành bên trong máy ảo.

Máy ảo độc hại này chứa một công cụ gọi là Chisel, cho phép duy trì kênh liên lạc bảo mật thông qua giao thức HTTP và SSH với máy chủ điều khiển của kẻ tấn công. Qua đó, các tin tặc có thể truy cập hệ thống từ xa mà không bị tường lửa ngăn chặn. Tin tặc cũng có thể sử dụng các lệnh như "get-host-shell" để mở giao diện dòng lệnh trên hệ thống hoặc "get-host-user" để xác định quyền hạn của người dùng, giúp tăng cường khả năng điều khiển và thực hiện nhiều thao tác nguy hiểm như giám sát, lấy cắp dữ liệu hoặc cài thêm mã độc.

Để duy trì quyền truy cập lâu dài, mã độc tự động khởi động lại cùng hệ thống mỗi khi thiết bị bật lại. Công cụ còn tự động tạo các khóa SSH, cho phép mã độc bỏ qua bước xác thực mỗi lần đăng nhập lại, duy trì kết nối lâu dài với hệ thống của nạn nhân.

Cần làm gì để phòng chống mã độc Linux?

Trước những mối đe dọa từ CRON#TRAP, các chuyên gia bảo mật khuyến cáo doanh nghiệp nên giám sát các tiến trình đáng ngờ như "qemu.exe" xuất hiện trong thư mục dễ truy cập của người dùng, đồng thời đưa QEMU và các công cụ ảo hóa vào danh sách chặn. Với những thiết bị quan trọng, nên vô hiệu hóa tính năng ảo hóa trong BIOS để ngăn ngừa mã độc lợi dụng. Tăng cường xác thực vật lý với khóa bảo mật nhằm ngăn chặn tin tặc lợi dụng mã độc đánh cắp tài khoản và thông tin đăng nhập.

Xem thêm: Bộ Giải pháp và Dịch vụ bảo mật từ HPT

Mã độc Linux là một loại tấn công mạng nguy hiểm, gây ra nhiều rủi ro bảo mật cho doanh nghiệp. Thông tin và dữ liệu bị đánh cắp,  hoạt động kinh doanh bị gián đoạn ảnh hưởng nghiêm trọng về mặt tài chính và uy tín của công ty. Do đó, các doanh nghiệp cần nâng cao cảnh giác trước các thủ đoạn lừa đảo nguy hiểm và tăng cường các giải pháp bảo mật, giám sát An toàn thông tin cho hệ thống ninh mạng của doanh nghiệp.

Xem thêm: HCapollo – Giải pháp giám sát và cảnh báo ATTT

Tham khảo từ nguồn: Báo Thanh Niên

Bạn muốn tìm hiểu về Giải pháp An toàn bảo mật, liên hệ ngay với HPT

📞
🌐