Mã độc DanaBot thường được sử dụng để xâm nhập hệ thống, đánh cắp dữ liệu trình duyệt, ví tiền điện tử, thông tin ngân hàng hoặc tạo bàn đạp cho các cuộc tấn công tống tiền quy mô lớn hơn.

Sau Chiến dịch Endgame diễn ra vào tháng 5, khi các cơ quan an ninh từ Mỹ, Anh và châu Âu phối hợp xóa sổ hệ thống cơ sở hạ tầng của mã độc, cùng với đó tiến hành 20 vụ bắt giữ mang tính quốc tế và thu hồi lượng lớn tiền điện tử bị chiếm đoạt, nhiều người tin rằng mối đe dọa DanaBot đã chấm dứt. Tuy nhiên, thực tế cho thấy chiến dịch này chưa thể dập tắt hoàn toàn hoạt động của nhóm tội phạm mạng đứng sau.

Theo báo cáo mới nhất từ công ty bảo mật Zscaler (Mỹ) công bố trên nền tảng X, DanaBot đã tái xuất với phiên bản DanaBot 669 sau gần sáu tháng vắng bóng. Phiên bản nâng cấp này được đánh giá là đáng lo ngại, cho thấy nhóm điều hành đã nhanh chóng tái thiết lập cơ sở hạ tầng và khởi động lại hoạt động tấn công.

DanaBot vốn là loại mã độc chuyên đánh cắp thông tin, đặc biệt là tiền điện tử, được các nhóm tội phạm mạng thuê để sử dụng. Mã độc này thường xâm nhập hệ thống nhằm lấy cắp dữ liệu từ trình duyệt, ví tiền điện tử, thông tin tài khoản ngân hàng hoặc làm bàn đạp cho các vụ tấn công tống tiền quy mô lớn hơn. Sự quay trở lại của DanaBot 669 cho thấy nhóm phát triển vẫn duy trì được năng lực kỹ thuật cao, thậm chí còn tinh vi hơn so với trước đây.

Phương thức tấn công người dùng Windows của DanaBot 669

Theo Zscaler, chiến dịch tấn công mới vẫn dựa vào hai phương thức quen thuộc nhưng vẫn phát huy hiệu quả cao: email lừa đảo (phishing) và quảng cáo độc hại (malvertising). Các kỹ thuật này lợi dụng sự thiếu cảnh giác của người dùng hoặc tính tin cậy từ các nền tảng tìm kiếm để phát tán tệp chứa mã độc.

Email lừa đảo: Người dùng nhận được email có vẻ ngoài giống tài liệu công việc chính thức như hóa đơn, đơn đặt hàng hoặc thông báo quan trọng, kèm theo tệp đính kèm hoặc đường dẫn tải xuống. Khi người dùng mở tệp này, mã độc sẽ được kích hoạt và âm thầm chiếm quyền kiểm soát hệ thống.

Quảng cáo độc hại: Tin tặc mua các vị trí quảng cáo trên công cụ tìm kiếm, dẫn người dùng đến các trang web giả mạo cung cấp phần mềm tải về. Tệp cài đặt này thực chất đã bị cài cắm mã độc DanaBot.

Đáng lo ngại hơn, DanaBot 669 được cho là đã triển khai hệ thống cơ sở hạ tầng điều khiển và kiểm soát (C2) hoàn toàn mới, nhằm né tránh sự phát hiện và cải thiện khả năng ẩn mình trên các hệ điều hành Windows 10, Windows 11 và Windows Server.

Các chuyên gia cho rằng sự tái xuất này có thể bắt nguồn từ việc một số thành viên chủ chốt của mạng lưới tội phạm vẫn chưa bị bắt giữ. Ông Ross Filipek, Giám đốc An ninh Thông tin tại Corsica Technologies, nhận định nhóm vận hành DanaBot có khả năng đã "tập hợp lại lực lượng" và tung ra phiên bản mạnh hơn sau thất bại hồi tháng 5.

Các biện pháp phòng tránh DanaBot dành cho người dùng và tổ chức

Trước mức độ nguy hiểm của DanaBot 669, các chuyên gia an ninh mạng đưa ra những khuyến nghị cấp thiết cho cả tổ chức và người dùng cá nhân.

1. Tổ chức cần tăng cường các lớp phòng thủ

Ông Filipek khuyến cáo các tổ chức đang vận hành hệ thống Windows cần khẩn trương nâng cấp hoặc bổ sung các công cụ bảo mật, bao gồm:

• Hệ thống giám sát mạng nâng cao (Network Monitoring) để phát hiện các hoạt động bất thường.

• Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) nhằm nhận diện các kết nối mã hóa đáng ngờ giữa máy nạn nhân và máy chủ C2 của DanaBot.

• Giải pháp bảo mật đầu cuối (Endpoint Security) có khả năng chống mã độc và phân tích hành vi bất thường.

Việc giám sát liên tục là yếu tố quan trọng nhất, do DanaBot thường xuyên thay đổi cơ sở hạ tầng để vượt qua các biện pháp phòng thủ truyền thống.

2. Người dùng cần nâng cao cảnh giác khi sử dụng email và tìm kiếm trên web

Người dùng cá nhân – mục tiêu chính của DanaBot – nên tuân thủ các nguyên tắc sau:

• Không nhấp vào đường dẫn hoặc mở tệp đính kèm từ email không rõ nguồn gốc.

• Tránh tải phần mềm từ các quảng cáo tìm kiếm, chỉ sử dụng trang web chính thức của nhà phát triển.

• Cập nhật thường xuyên Windows và Windows Defender, đặc biệt trong bối cảnh lỗ hổng zero-day đang bị khai thác trong thực tế.

• Bật tính năng chống lừa đảo (anti-phishing) trên trình duyệt.

Sự cảnh giác là cần thiết bởi chỉ một cú nhấp chuột sai lầm có thể khiến ví tiền điện tử hoặc dữ liệu cá nhân bị đánh cắp ngay lập tức.

Sự quay trở lại của DanaBot 669 cho thấy môi trường an ninh mạng đang ngày càng phức tạp hơn bao giờ hết. Dù từng được cho là đã bị loại bỏ, nhóm tội phạm vận hành mã độc này vẫn có khả năng tái thiết lập và tiến hành các cuộc tấn công người dùng Windows trên quy mô rộng.

Trong bối cảnh lỗ hổng zero-day của Windows vừa bị khai thác, người dùng và tổ chức cần đặc biệt thận trọng. Chỉ bằng cách tăng cường các biện pháp bảo mật, nâng cao nhận thức về an toàn và thường xuyên cập nhật hệ thống, chúng ta mới có thể giảm thiểu rủi ro từ làn sóng tấn công đang âm thầm lan rộng này.

Khôi Nguyên