Ảnh minh họa

Theo Phòng An ninh mạng và phòng chống tội phạm công nghệ cao (Công an TP Hà Nội), mã độc Valley RAT được giấu trong tệp có tên "DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe". Khi người dùng mở tệp này, mã độc sẽ âm thầm xâm nhập hệ thống, tự động khởi chạy mỗi lần khởi động máy và kết nối đến máy chủ điều khiển tại địa chỉ 27.124.9.13 (port 5689) do tin tặc kiểm soát.

Sau khi xâm nhập, mã độc có thể thực hiện các hành động nguy hiểm: lấy cắp thông tin nhạy cảm trên máy; chiếm quyền điều khiển máy tính; đánh cắp tài khoản cá nhân và cơ quan; tải xuống tài liệu nội bộ; lan truyền mã độc sang các thiết bị khác trong cùng mạng. Yếu tố nguy hiểm nhất là giao diện tệp được ngụy trang giống hệt tài liệu hành chính thật, khiến người dùng dễ bị lơ lơ đặc biệt khi nhiều đơn vị đang trao đổi tài liệu để góp ý.

Qua rà quét mở rộng, lực lượng chức năng phát hiện thêm nhiều tệp độc hại với cấu trúc tương tự, có tên giống các văn bản hành chính quen thuộc như: "BÁO CÁO TÀI CHÍNH2.exe", "THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe", "CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe", "HỖ TRỢ KÊ KHAI THUẾ.exe", "CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe", "MẪU GIẤY ỦY QUYỀN.exe", "BIÊN BẢN BÁO CÁO QUÝ III.exe". Cách đặt tên được thiết kế tinh vi theo đặc thù công việc văn phòng, tài chính, Đảng vụ, thuế, làm tăng nguy cơ người dùng tưởng là tài liệu nội bộ và mở ra.

Phân tích kỹ thuật cho thấy Valley RAT vô cùng nguy hiểm vì sở hữu các tính năng khiến nó trở thành mối đe dọa nghiêm trọng: ẩn mình sâu trong hệ thống và tự khởi động cùng Windows; cho phép tin tặc điều khiển thiết bị từ xa; tải thêm mã độc khác; thu thập tự động dữ liệu nhạy cảm và gửi về máy chủ; ghi lại các phím bấm, chụp màn hình, lấy cắp mật khẩu lưu trong trình duyệt; lan truyền dễ dàng trong mạng nội bộ.

Nhiều cơ quan, tổ chức sử dụng email nội bộ hoặc các ứng dụng nhắn tin như Zalo, Facebook Messenger để trao đổi tài liệu, vô tình tạo điều kiện thuận lợi cho mã độc lây lan nếu chỉ một máy trong hệ thống bị nhiễm. Để bảo vệ an toàn thông tin, Công an TP Hà Nội khuyến cáo:

Tuyệt đối không mở hoặc tải các tệp lạ, đặc biệt tệp có đuôi .exe, .dll, .bat, .msi từ email hoặc mạng xã hội, kể cả khi được gửi từ người quen vì tài khoản của họ có thể đã bị chiếm đoạt. Khi phát hiện dấu hiệu bất thường, người dùng cần ngay lập tức ngắt kết nối Internet, dừng sử dụng thiết bị và báo cáo cho cơ quan chức năng hoặc Trung tâm An ninh mạng quốc gia (NCSC).

Quét hệ thống bằng phần mềm bảo mật uy tín như Avast, AVG, Bitdefender, Windows Defender (phiên bản mới nhất). Đáng chú ý, Công an Hà Nội lưu ý rằng phần mềm Kaspersky miễn phí hiện chưa phát hiện được loại mã độc này. Bên cạnh sử dụng phần mềm diệt virut, cần dùng Process Explorer để xem các tiến trình lạ không có chữ ký số; TCPView để kiểm tra kết nối; nếu phát hiện kết nối đến IP 27.124.9.13, cần xử lý ngay.

Quản trị viên hệ thống phải chặn ngay IP độc hại bằng cách thiết lập tường lửa (firewall) để cấm toàn bộ truy cập đến 27.124.9.13, ngăn chặn mã độc kết nối với máy chủ điều khiển. Các đơn vị cần thông báo nội bộ, yêu cầu cán bộ, nhân viên tuyệt đối không mở tài liệu "gửi kèm" nếu không xác minh được nguồn gốc.

Người dân nên tiếp nhận thông tin từ các kênh chính thống: Bộ Công an, Bộ Khoa học và Công nghệ, Công an địa phương; tránh chia sẻ tệp nghi ngờ lên mạng xã hội để không gây lây lan; tăng cường cảnh giác bảo vệ an ninh mạng quốc gia.

Sự xuất hiện của Valley RAT đúng vào thời điểm diễn ra hoạt động góp ý dự thảo văn kiện Đại hội XIV của Đảng cho thấy các đối tượng tấn công mạng đang khai thác tối đa tâm lý tin tưởng của người dùng với tài liệu chính trị, hành chính. An toàn thông tin không chỉ là nhiệm vụ của các cơ quan chuyên môn mà là trách nhiệm của mỗi cá nhân sử dụng thiết bị số - nhận diện đúng, hành động nhanh, báo cáo kịp thời sẽ góp phần bảo vệ hệ thống thông tin quốc gia.

Đình Hiếu