SEQRITE Labs vừa phát hiện chiến dịch tấn công mới mang tên Hanoi Thief, nhắm trực tiếp vào các doanh nghiệp tại Việt Nam, đặc biệt là phòng IT và bộ phận tuyển dụng. Nhóm hacker (có nghi ngờ liên quan đến Trung Quốc) gửi hồ sơ xin việc giả mạo để dụ nhân viên mở file, từ đó cài mã độc vào máy tính. 

File mồi là một tệp ZIP có tên Le-Xuan-Son_CV.zip. Bên trong có một shortcut giả dạng file PDF và một hình PNG nhìn bình thường nhưng thực chất chứa mã độc. Khi nạn nhân mở file, hacker lợi dụng chính công cụ có sẵn trong Windows để chạy lệnh ẩn, khiến hệ thống rất khó phát hiện.

Sau khi xâm nhập, mã độc thả xuống một tệp DLL độc hại và dùng kỹ thuật đánh lừa Windows để tải DLL này lên như một file hợp lệ. Payload cuối cùng – LOTUSHARVEST – sẽ thu thập mật khẩu, cookie và lịch sử duyệt web từ Chrome và Edge, kèm tên máy và người dùng. Toàn bộ dữ liệu sau đó bị gửi về máy chủ của hacker qua kết nối HTTPS.

SEQRITE ghi nhận nhiều dấu hiệu cho thấy mã độc được thiết kế tinh vi, có khả năng né các hệ thống phân tích và giám sát. Doanh nghiệp tại Việt Nam được khuyến cáo cẩn trọng khi xử lý CV, luôn quét file trước khi mở và theo dõi các hành vi bất thường liên quan đến file lạ, shortcut, hoặc DLL nghi vấn.

Theo CyberPress