Các tin tặc đang sử dụng các phiên bản giả mạo của Google Chrome, Microsoft Word và OneDrive để cài đặt mã độc lên thiết bị người dùng.
Chiêu trò tinh vi này đang được nhiều nhóm tấn công mạng sử dụng, chúng gửi thông báo lỗi giả mạo qua các ứng dụng phổ biến này để đánh lừa người dùng tải phần mềm độc hại.
Windows hiện vẫn chưa thể phát hiện hoặc ngăn chặn các cuộc tấn công kiểu này. Chừng nào Microsoft chưa có biện pháp khắc phục, nguy cơ người dùng bị tấn công vẫn còn hiện hữu.
Giới hacker trên toàn cầu đã liên tục nghĩ ra những phương thức mới để lừa đảo người dùng. Gần đây, các hacker đã tạo ra những phiên bản giả mạo của Google Chrome, Microsoft Word và OneDrive, một chiêu trò chưa từng có tiền lệ.
Điều đáng lo ngại là đây không phải là hành động đơn lẻ của một nhóm tin tặc, mà nhiều nhóm tội phạm mạng khác nhau đã và đang sử dụng thủ đoạn này.
- Điển hình như nhóm TA571, chuyên gửi email hàng loạt chứa mã độc để lừa người dùng tải phần mềm chứa virus, cũng đã bị phát hiện sử dụng phương pháp này.
- Tương tự những kẻ đứng sau ClearFake, một chiến dịch tấn công mới có tên ClickFix, cũng được xác định là một phần của hoạt động lừa đảo quy mô lớn này.
Cách thức hoạt động của hacker?
Theo một báo cáo của Proofpoint, các mã độc được sử dụng trong các cuộc tấn công này bao gồm NetSupport, Matanbuchus, Amadey Loader, DarkGate, XMRig, một phần mềm chiếm quyền điều khiển clipboard và Lumma Stealer.
Về phương thức tấn công, có ba cách chính để thực hiện các cuộc tấn công này. Hãy cùng tìm hiểu chi tiết về từng phương pháp:
Phương pháp #1 – Chiến dịch ClickFix
Trường hợp đầu tiên liên quan đến chiến dịch ‘ClickFix’.
- Với cách này, tin tặc sẽ gửi một thông báo lỗi cho người dùng qua email (hoặc dưới dạng thông báo trên trang web) và sau đó thuyết phục họ tải bản cập nhật mới nhất của trình duyệt.
- Tuy nhiên, liên kết này sẽ dẫn đến các bản cập nhật giả mạo, sau đó được sử dụng để cài đặt mã độc lên thiết bị của nạn nhân.
Trong một số trường hợp, người dùng còn được yêu cầu mở “Windows PowerShell (Admin)” và dán một đoạn mã nhất định do tin tặc cung cấp. Kết quả thì bạn cũng biết rồi đấy.
Phương pháp #2 – Chứng chỉ gốc
Ngoài ra, tin tặc cũng có thể gửi một cảnh báo cho người dùng, nói rằng có sự cố khi hiển thị trang web và người dùng cần cài đặt một “chứng chỉ gốc”.
Để thực hiện việc này, người dùng được hướng dẫn sao chép một tập lệnh PowerShell vào Clipboard của Windows và chạy nó trong bảng điều khiển Windows Admin. Tập lệnh này sau đó sẽ hiển thị các thông báo giả mạo trong khi âm thầm tải mã độc trên thiết bị để đánh cắp thông tin của họ.
Phương pháp #3 – Giả mạo email
Trong phương pháp thứ ba, tin tặc gửi email trông giống như lời nhắc của Microsoft Word và yêu cầu người dùng tải một thứ gọi là “Word Online”, một tiện ích mở rộng mà theo chúng là sẽ giúp người dùng xem tài liệu của họ một cách chính xác.
Các thông báo lỗi này cũng chứa các tùy chọn để nạn nhận chọn lựa như “Cách khắc phục” và “Tự động khắc phục”, bao gồm các lệnh nhất định có vẻ như có thể sẽ khắc phục lỗi (bất kể lỗi nào đã được hiển thị cho người dùng) nếu được dán vào PowerShell. Tuy nhiên, trên thực tế, làm như vậy sẽ “phơi bày” hệ thống của người dùng cho đoạn mã độc tấn công.
Những phương pháp này có lừa được nhiều người không?
Vấn đề nan giải nhất của những chiêu trò này là Windows vẫn chưa thể phát hiện và ngăn chặn chúng. Cho đến khi Microsoft tìm ra giải pháp, người dùng vẫn sẽ tiếp tục đối mặt với nguy cơ bị tấn công.
Hơn nữa, mặc dù các phương thức tấn công này đòi hỏi kỹ năng lừa đảo tinh vi, chúng lại được thực hiện một cách khéo léo đến mức người dùng thực sự tin rằng có vấn đề với hệ thống của họ và cần phải sửa chữa. Cho thấy rằng các cuộc tấn công thực sự đang đạt được hiệu quả cao.