Chiến dịch tấn công không lời cảnh báo

722 lần tải xuống – đây không chỉ là một chỉ số, mà là một hồi chuông cảnh báo. Positive Technologies, công ty an ninh mạng Nga, đã phát hiện rằng một extension độc hại đã được cài đặt lên các trình duyệt như Google Chrome, Microsoft Edge và Brave. Từ Brazil đến Việt Nam, các máy tính của hàng loạt người dùng bị xâm nhập mà họ không hề hay biết. Hơn 70 công ty đã bị ảnh hưởng bởi chiến dịch Phantom Enigma, và tất cả họ đều có điểm chung: sự yếu ớt trước email lừa đảo.

Chúng ta không đang nói về một sự cố an ninh bình thường. Đây là một cuộc tấn công tinh vi, được thiết kế để đánh lừa cả những người dùng cảnh giác nhất. Các email, tưởng chừng như vô hại, lại ẩn chứa những nguy cơ chết người – những hóa đơn giả đưa người dùng vào một chuỗi lừa đảo phức tạp.

Quy trình tấn công nhanh như chớp

Câu chuyện bắt đầu khi người dùng nhận được email phishing được ngụy trang tinh vi dưới dạng hóa đơn thanh toán. Điều đặc biệt nguy hiểm là những email này được gửi từ chính máy chủ của các công ty đã bị xâm nhập, làm tăng đáng kể khả năng thành công của cuộc tấn công.

Chỉ với một cú click chuột, một chuỗi phản ứng nguy hiểm sẽ được kích hoạt. Batch script sẽ tự động tải xuống và chạy PowerShell script, đồng thời thực hiện kiểm tra môi trường ảo hóa cũng như sự hiện diện của phần mềm bảo mật Warsaw. Đặc biệt, hệ thống sẽ tắt User Account Control (UAC) để vô hiệu hóa các cảnh báo bảo mật, sau đó thiết lập persistence nhằm duy trì quyền truy cập lâu dài trên máy tính nạn nhân.

Đây là sự khởi đầu của một chuỗi sự kiện khiến hệ thống của bạn biến thành công cụ cho những kẻ tấn công. Lúc này, phần mềm độc hại đã bắt đầu kiểm soát máy tính của bạn. Bằng cách sửa đổi Windows Registry, kẻ tấn công có thể cài đặt extension độc hại vào trình duyệt mà bạn không hề hay biết. Không có sự tương tác từ người dùng, chỉ trong một vài giây, dữ liệu của bạn đã sẵn sàng để bị đánh cắp.

Extension độc hại được thiết kế để hoạt động đa nền tảng, tương thích với các trình duyệt phổ biến nhất hiện nay bao gồm Google Chrome, Microsoft Edge và Brave Browser. Khả năng tương thích rộng rãi này giúp tăng đáng kể số lượng nạn nhân tiềm năng mà tội phạm mạng có thể nhắm tới.

Cơ chế hoạt động của phần mềm độc hại

Hệ thống lệnh điều khiển từ xa

Extension được trang bị hệ thống lệnh điều khiển từ xa cực kỳ phức tạp. Trong đó, lệnh PING/PONG giúp duy trì kết nối liên tục với máy chủ điều khiển, trong khi DISCONNECT cho phép ngắt kết nối và dừng script khi cần thiết.

Hệ thống cũng có khả năng tự gỡ bỏ hoàn toàn thông qua lệnh REMOVEKL, kiểm tra sự tồn tại của extension trong Registry với CHECAEXT, và quan trọng nhất là START_SCREEN – lệnh cài đặt extension thông qua chính sách ExtensionInstallForcelist mà không cần sự cho phép của người dùng.

Mục tiêu chính: Đánh cắp thông tin ngân hàng

Khi phát hiện người dùng truy cập trang web của Banco do Brasil – một ngân hàng lớn của Brazil, extension sẽ kích hoạt chức năng thu thập token xác thực của người dùng và gửi yêu cầu đến máy chủ tấn công để nhận lệnh điều khiển tiếp theo.

Các lệnh này thường bao gồm việc hiển thị màn hình loading giả mạo nhằm đánh lạc hướng nạn nhân, hoặc tạo mã QR độc hại ngay trên trang web ngân hàng chính thức để thu thập thêm thông tin nhạy cảm.

Quy mô và tác định

Theo báo cáo của Positive Technologies, chiến dịch Phantom Enigma đã thể hiện quy mô tấn công đáng báo động. Extension độc hại đã được tải xuống 722 lần từ nhiều quốc gia khác nhau bao gồm Brazil, Colombia, Cộng hòa Séc, Mexico, Nga và cả Việt Nam, với 70 công ty được xác định là đã bị ảnh hưởng.

Hiện nay, các extension với ID nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm, và lkpiodmpjdhhhkdhdbnncigggodgdfli đã được gỡ bỏ khỏi Chrome Web Store sau khi được phát hiện.

Biện pháp phòng tránh

Để phòng tránh những cuộc tấn công tinh vi tương tự như chiến dịch Phantom Enigma, cũng như giảm thiểu thiệt hại có thể xảy ra, cần triển khai nhiều biện pháp bảo mật từ cả hai phía: cá nhân và doanh nghiệp. Điều này nhằm đảm bảo người dùng được bảo vệ một cách toàn diện, đồng thời doanh nghiệp cũng bảo vệ được lợi ích và uy tín của mình.

Đối với cá nhân

Không có biện pháp bảo mật nào là tuyệt đối, nhưng để giảm thiểu nguy cơ trở thành nạn nhân của hacker, bạn có thể:

Đối với doanh nghiệp

Chỉ cần một phút bất cẩn của một cá nhân mà doanh nghiệp có thể sẽ phải đối mặt với nhiều rủi ro nghiêm trọng hơn như hệ thống nội bộ bị xâm nhập, lộ lọt thông tin mật, dữ liệu nhạy cảm, thậm chí là mất kiểm soát truy cập vào hệ thống. Đặc biệt, những điều này có thể ảnh hưởng đến uy tín cũng như lòng tin của khách hàng.

Để có thể giảm thiểu rủi ro với những hình thức phising tương tự, doanh nghiệp có thể triển khai những giải pháp lọc email phù hợp cho hệ thống mail của mình, đồng thời thiết lập chính sách quản lý Extension nghiêm ngặt nhằm kiểm soát việc cài đặt các tiện ích mở rộng. Đặc biệt, việc giám sát những hoạt động, sự kiện bất thường trên network, hệ thống là biện pháp không thể thiếu trong chiến lược bảo mật tổng thể.

Bên cạnh đó, việc tổ chức đào tạo nâng cao nhận thức An toàn thông tin định kỳ cho nhân viên là một trong những biện pháp quan trọng nhất để ngăn chặn nguy cơ trở thành nạn nhân của lừa đảo và tấn công mạng. Con người chính là một trong ba yếu tố then chốt quyết định sự bền vững của hệ thống doanh nghiệp.

Nguồn: Operation Phantom Enigma