Hồ sơ xin việc là vỏ bọc của mã độc

Theo ghi nhận của Bkav, nhiều doanh nghiệp lớn nhỏ tại Việt Nam đã nhận được email có nội dung ứng tuyển, kèm theo tệp zip chứa “CV”. Khi giải nén, người dùng sẽ nhìn thấy một file shortcut mang biểu tượng PDF hoặc PNG, dễ khiến bộ phận tuyển dụng nhầm tưởng là hồ sơ xin việc thông thường.

Tuy nhiên, chỉ một cú nhấp chuột vào file shortcut này, mã độc LOTUSHARVEST sẽ lập tức được kích hoạt. Đây là loại virus được lập trình chuyên biệt để đánh cắp dữ liệu nhạy cảm trong trình duyệt như mật khẩu đã lưu, cookie đăng nhập, token, lịch sử truy cập và gửi về máy chủ điều khiển của hacker ở nước ngoài.

Điểm nguy hiểm là LOTUSHARVEST được thiết kế để ẩn mình sâu trong hệ thống, lợi dụng cơ chế nạp thư viện nhằm duy trì khả năng hoạt động lâu dài mà không bị phát hiện. Nhờ đó, tin tặc có thể bí mật duy trì quyền kiểm soát thiết bị, mở rộng tấn công vào các phân hệ khác hoặc chèn thêm các công cụ độc hại phục vụ mục đích gián điệp, đánh cắp dữ liệu khách hàng, thậm chí triển khai tống tiền ở các giai đoạn sau.

Chuyên gia phân tích mã độc Nguyễn Đình Thủy - Công ty cổ phần Bkav đánh giá: “Mọi dấu hiệu cho thấy chiến dịch Hanoi Thief đã được lập kế hoạch tỉ mỉ, nhắm trực tiếp vào doanh nghiệp Việt Nam. Lợi dụng bộ phận tuyển dụng, nơi thường xuyên nhận hồ sơ từ bên ngoài nhưng chưa được trang bị đầy đủ nhận thức an ninh mạng, hacker sử dụng các file giả mạo dạng CV hoặc tài liệu và có thể biến đổi liên tục thành nhiều biến thể khác nhau, khiến nguy cơ lây nhiễm trở nên khó lường”. 

Thực tế, Bkav cho biết đã có doanh nghiệp tại Việt Nam trở thành nạn nhân, ghi nhận mất thông tin đăng nhập và bị truy cập trái phép vào hệ thống nội bộ. Điều này cho thấy chiến dịch không chỉ dừng lại ở giai đoạn phát tán file độc hại, mà đã bước sang mức độ xâm nhập thực tế.

LOTUSHARVEST sau khi chiếm được dữ liệu đăng nhập có thể trở thành “chìa khóa vàng” để hacker leo thang tấn công, mở rộng quyền truy cập, cài thêm mã độc hoặc bán dữ liệu trên chợ đen. Nếu doanh nghiệp không phát hiện sớm, toàn bộ hệ thống có thể bị xâm chiếm trong thời gian dài mà không hay biết.

Cảnh báo cấp thiết dành cho doanh nghiệp Việt Nam

Bkav khuyến cáo: người dùng và đặc biệt là các bộ phận nhân sự, tuyển dụng cần tuyệt đối không mở các tệp lạ gửi qua email, kể cả khi tệp có biểu tượng PDF, PNG hoặc tên gọi thân thiện như “CV”, “Profile”, “Portfolio”.

Các doanh nghiệp, tổ chức cần thường xuyên tổ chức đào tạo định kỳ cho nhân viên, nâng cao nhận thức và cảnh giác trước các chiêu thức lừa đảo trên mạng. Hệ thống giám sát nội bộ cần được tăng cường, đặc biệt theo dõi các thư viện bất thường hoặc tập tin nghi vấn. 

Bkav nhấn mạnh rằng các công cụ bảo vệ mặc định trên hệ điều hành chỉ đáp ứng mức an ninh cơ bản, không đủ sức chống lại các mã độc có cơ chế ẩn mình như LOTUSHARVEST. Doanh nghiệp cần có giải pháp bảo vệ chuyên nghiệp hơn để tránh nguy cơ tấn công nhiều lớp.

Chiến dịch Hanoi Thief một lần nữa cho thấy xu hướng tấn công mạng đã thay đổi rõ rệt: hacker không còn phát tán mã độc ồ ạt mà chuyển sang tấn công có chủ đích, nhắm đúng những bộ phận ít được trang bị kỹ năng phòng vệ nhưng lại có quyền truy cập vào hệ thống nội bộ.

Việc cải trang mã độc thành file CV là chiêu thức quen thuộc nhưng vẫn hiệu quả vì đánh vào tâm lý cả tin của người xử lý hồ sơ. Trong bối cảnh doanh nghiệp Việt Nam ngày càng chuyển đổi số sâu rộng, nguy cơ bị tấn công gián tiếp thông qua hoạt động nhân sự, tuyển dụng, đối tác hoặc nhà cung cấp ngày càng lớn.

Bkav khuyến nghị tất cả doanh nghiệp cần nâng cấp khả năng phòng vệ theo hướng xác minh nguồn gửi, quét file trước khi mở, phân tách môi trường an toàn, đồng thời có đội ngũ chuyên trách hoặc đối tác an ninh mạng giám sát hệ thống 24/7 để kịp thời phát hiện bất thường.

Thu Uyên