Microsoft cảnh báo: Đừng mở tin nhắn WhatsApp chứa phần mềm độc hại

Tấn công mạng qua WhatsApp phát tán phần mềm độc hại

Kẻ tấn công mạng đang khai thác tin nhắn WhatsApp để phát tán các gói cài đặt Microsoft (MSI) và mã lệnh VBS, cho phép họ chiếm quyền kiểm soát máy tính và truy cập toàn bộ dữ liệu của nạn nhân. Microsoft cảnh báo về một cuộc chiến dịch bắt đầu vào cuối tháng 2, sử dụng kỹ thuật lừa đảo xã hội tinh vi để thuyết phục người dùng thực thi tệp tin độc hại.

• Kỹ thuật lẩn tránh: Sau khi thực thi, malware tạo các thư mục ẩn và thay đổi tên của các tiện ích Windows hợp pháp. Ví dụ, lệnh curl.exe được đổi tên thành netapi.dll. Kẻ tấn công sử dụng kỹ thuật "Living off the land" để lẫn vào các hoạt động mạng bình thường, làm khó cho các giải pháp bảo mật.

Microsoft lưu ý rằng các tệp tin này vẫn giữ lại "metadata" gốc (như tên tệp gốc), cho phép Microsoft Defender phát hiện sự khác biệt giữa tên tệp thực tế và metadata nhúng.

Các giai đoạn tấn công và biện pháp phòng thủ

Cuộc tấn công diễn ra theo nhiều giai đoạn:

1. Tiếp cận: Tải các payload phụ trợ (auxs.vbs, 2009.vbs) từ các dịch vụ đám mây uy tín như AWS và Tencent Cloud.
2. Lấp đầy quyền hạn: Tối ưu hóa cài đặt UAC để chạy cmd.exe với quyền nâng cao, đảm bảo phần mềm hoạt động sau khi khởi động lại hệ thống.
3. Cài đặt độc hại: Triển khai các gói cài đặt MSI thực tế (như WinRAR, AnyDesk) không có chữ ký số. Bằng cách sử dụng phần mềm hợp pháp, kẻ tấn công dễ dàng lẫn tránh sự nghi ngờ.

Khuyến nghị cho người dùng

Để bảo vệ bản thân, Microsoft và WhatsApp khuyến cáo người dùng nên:

• Tập trung vào đào tạo: Cảnh giác với các cuộc lừa đảo qua mạng xã hội, đặc biệt là tin nhắn từ người lạ hoặc yêu cầu hành động khẩn cấp.
• Kiểm soát quyền riêng tư: Trên WhatsApp, người dùng có thể bật "Cài đặt nâng cao" (Advanced Account Settings) để chặn lời mời lạ, tắt tệp đính kèm từ người lạ và chặn gọi điện thoại lạ.