 |
| Ảnh minh họa. Nguồn Finextra |
Phần mềm độc hại tự lây lan qua WhatsApp
Theo các nhà nghiên cứu tại Trend Micro, chiến dịch Water Saci sử dụng một phần mềm độc hại có tên gọi Sorvepotel để tấn công người dùng WhatsApp. Phần mềm này lợi dụng các phiên WhatsApp Web đang hoạt động để tự động gửi tệp tin nén chứa mã độc đến tất cả các liên hệ và nhóm mà tài khoản của nạn nhân tham gia.
Chiến dịch tấn công "Water Saci" lợi dụng các cuộc trò chuyện WhatsApp để dụ dỗ người dùng tải xuống và mở tệp zip trên máy tính cá nhân. Tin nhắn có đính kèm tập tin nén (.zip) với thông báo yêu cầu người dùng mở tệp zip trên máy tính để bàn. Thủ đoạn này cho thấy mục tiêu của chiến dịch Water Saci có thể nhắm đến các tổ chức hoặc doanh nghiệp, mặc dù phần mềm độc hại Sorvepotel hoạt động khá bất thường so với các phần mềm độc hại truyền thống dành cho doanh nghiệp.
Các nhà nghiên cứu tại Trend Micro lưu ý, khác với các cuộc tấn công tập trung vào đánh cắp hoặc ransomware, chiến dịch này được thiết kế để tăng tốc độ và khả năng lan truyền, lợi dụng lòng tin xã hội và cơ chế tự động để lây lan giữa những người dùng Windows.
Các tổ chức bị ảnh hưởng nhiều nhất bao gồm các cơ quan chính phủ và dịch vụ công; ngoài ra, các ngành sản xuất, công nghệ, giáo dục và xây dựng cũng nằm trong danh sách mục tiêu. Dù hiện tại chiến dịch tập trung ở Brazil, Trend Micro cảnh báo rằng các quốc gia khác ở Mỹ Latinh cũng có thể đối mặt nguy cơ tương tự.
Sorvepotel thường lây lan thông qua tin nhắn WhatsApp từ các tài khoản bị xâm phạm, thường là từ bạn bè hoặc đồng nghiệp của nạn nhân, khiến tin nhắn có vẻ rất hợp pháp. Sau khi tệp zip được mở, phần mềm độc hại sẽ tự động lây lan qua WhatsApp Web, phân phối tin nhắn giả mạo cùng một tệp zip độc hại tới tất cả các liên hệ và nhóm liên quan từ tài khoản bị xâm phạm của nạn nhân.
Tệp đính kèm zip thường được đặt tên bằng ngôn ngữ địa phương - trong trường hợp này là tiếng Bồ Đào Nha Brazil, được giả dạng thành biên lai, ngân sách hoặc tệp liên quan đến ứng dụng sức khỏe. Khi đã kích hoạt, Sorvepotel sẽ theo dõi các trình duyệt, đánh cắp các thông tin đăng nhập và cài đặt mã độc vào các các trang web mục tiêu cụ thể của những tổ chức tài chính và sàn giao dịch tiền điện tử tại Brazil.
Ngăn chặn chiến dịch Water Saci và phòng chống mã độc Sorvepotel
Người dùng cần tuyệt đối cảnh giác với các tệp đính kèm từ WhatsApp, đặc biệt khi chúng được gửi từ tài khoản của bạn bè hoặc đồng nghiệp nhưng có nội dung bất thường. Không mở tệp zip hoặc liên kết từ nguồn không rõ ràng. Đảm bảo rằng hệ điều hành, WhatsApp và phần mềm diệt virus trên cả điện thoại và máy tính luôn được cập nhật phiên bản mới nhất để vá các lỗ hổng bảo mật.
Đăng xuất khỏi WhatsApp Web sau khi sử dụng và kiểm tra các phiên đăng nhập không xác định trong phần cài đặt của ứng dụng. Khi nghi ngờ bị tấn công, nên ngắt kết nối mạng ngay lập tức, khởi động lại thiết bị ở chế độ máy bay và liên hệ với nhà mạng cùng các đơn vị quản lý CNTT của doanh nghiệp để được hỗ trợ.
Để giảm thiểu rủi ro liên quan đến chiến dịch, các nhà nghiên cứu khuyến nghị người quản trị hướng dẫn người dùng doanh nghiệp tắt tính năng tự động tải xuống phương tiện và tài liệu trên WhatsApp để giảm nguy cơ tiếp xúc với các tệp độc hại.. Việc nâng cao nhận thức cộng đồng, tuân thủ các biện pháp kỹ thuật và duy trì cảnh giác với các tệp đính kèm lạ là chìa khóa để bảo vệ dữ liệu và tài sản cá nhân.
An Lâm (Theo Dark Reading)
Bình luận