Chiến dịch lừa đảo dùng tin nhắn thoại giả để phát tán phần mềm gián điệp RAT

[Kaya]

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch phishing quy mô toàn cầu đang lợi dụng email, giả mạo tin nhắn thoại và đơn hàng để phát tán một phần mềm độc hại có tên UpCrypter. Mục tiêu chính của chiến dịch là cài đặt các RAT (Remote Access Tool) cho phép tin tặc toàn quyền kiểm soát máy tính nạn nhân.

Kẻ tấn công gửi email giả danh thông báo voicemail (tin nhắn thoại) hoặc đơn hàng, trong email chứa các đường link đến các trang web giả mạo.

Điểm tinh vi là:

• Trang web hiển thị logo và tên miền công ty của nạn nhân, khiến chúng trông “chính chủ”.
• Người dùng bị dụ tải về file ZIP, bên trong là một tập tin JavaScript bị che giấu mã độc.

Sau khi mở, file này kết nối ra máy chủ bên ngoài, kiểm tra xem máy có kết nối internet và có chạy công cụ phân tích (sandbox, debugger) không. Nếu “an toàn” cho hacker, nó sẽ tải về UpCrypter.

UpCrypter không trực tiếp phá hoại, mà giống một “trạm trung chuyển”. Nó có thể:

• Tải xuống các loại RAT như PureHVNC RAT, DCRat, Babylon RAT.
• Dùng kỹ thuật steganography (giấu dữ liệu trong ảnh) để che giấu mã độc.
• Chạy mã độc ngay trong bộ nhớ mà không ghi ra ổ cứng, giúp tránh bị phát hiện.

Các RAT này cho phép tin tặc: Theo dõi, đánh cắp dữ liệu, kiểm soát màn hình, cài thêm phần mềm độc hại, thậm chí biến máy tính thành “bàn đạp” để tấn công sâu hơn vào hệ thống.

Chiến dịch này được ghi nhận từ đầu tháng 8/2025, chủ yếu nhắm đến các ngành: Sản xuất, công nghệ, y tế, xây dựng, bán lẻ và khách sạn. Các quốc gia bị ảnh hưởng nhiều gồm: Áo, Belarus, Canada, Ai Cập, Ấn Độ và Pakistan.

Đây không phải vụ đơn lẻ, Check Point cũng phát hiện một chiến dịch phishing lớn lợi dụng Google Classroom để gửi hơn 115.000 email giả mạo đến 13.500 tổ chức, nhằm vượt qua các lớp bảo mật email truyền thống (SPF, DKIM, DMARC). Xu hướng chung là tin tặc tận dụng dịch vụ hợp pháp (Google, Microsoft 365, OneNote, Discord, Zoom…) để che giấu, gọi là “living-off-trusted-sites” (LOTS).

Vì sao không thể xem thường chiến dịch này:

• Tính thuyết phục cao: Logo công ty, email “giả mà như thật”.
• Ẩn mình tốt: Dùng kỹ thuật chống phân tích, giấu dữ liệu trong ảnh.
• Khả năng mở rộng: UpCrypter có thể tải nhiều loại RAT khác nhau.
• Phạm vi toàn cầu: Không chỉ tấn công một nước hay một ngành.

Khuyến nghị cho người dùng và tổ chức

• Cẩn thận với email lạ, đặc biệt là thông báo voicemail, hóa đơn, đơn hàng, file ZIP.
• Không tải hoặc chạy file đính kèm nếu không chắc chắn.
• Kiểm tra kỹ link trước khi click, không chủ quan hay tin vào logo hoặc tên miền hiển thị.
• Tổ chức nên bật chính sách bảo mật email nâng cao, chặn hoặc cách ly email đáng ngờ.
• Cập nhật phần mềm bảo mật và hệ điều hành để tăng khả năng phát hiện.

Chiến dịch phát tán UpCrypter cho thấy kẻ tấn công ngày càng tinh vi, không chỉ tạo email giả mạo thuyết phục mà còn tận dụng dịch vụ hợp pháp để né tránh hệ thống phòng thủ. Người dùng phổ thông lẫn doanh nghiệp đều cần giữ thói quen cảnh giác với mọi email lạ và liên tục cập nhật biện pháp bảo mật. Trong kỷ nguyên số, một cú click nhầm có thể biến cả hệ thống thành sân chơi của hacker.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview