Mã độc ngân hàng ẩn mình tinh vi dưới dạng PDF và file ảnh vô hại

Việc phát tán mã độc thông qua tệp thực thi độc hại đang dần nhường chỗ cho những kỹ thuật che giấu tinh vi hơn. Mới đây, các chuyên gia an ninh mạng đã phát hiện chiến dịch Ousaban lợi dụng tệp PDF và hình ảnh để ngụy trang mã độc, qua mặt nhiều giải pháp bảo mật truyền thống và khiến quá trình phát hiện trở nên khó khăn hơn. 

Chiến dịch bắt đầu bằng các email lừa đảo chứa tệp PDF giả mạo thông báo hoặc tài liệu liên quan đến ngân hàng. Khi người dùng mở tệp, một liên kết sẽ dẫn tới việc tải xuống một hình ảnh tưởng chừng vô hại. Tuy nhiên, bên trong tệp hình ảnh này, tin tặc đã nhúng một tệp nén chứa mã độc bằng kỹ thuật steganography (giấu dữ liệu trong ảnh). Cách tiếp cận này giúp chuỗi tấn công vượt qua nhiều cơ chế quét email và tệp đính kèm vốn chỉ tập trung vào các định dạng tệp độc hại phổ biến. 

Sau khi được giải nén, Ousaban tiếp tục kiểm tra địa chỉ IP và vị trí địa lý của thiết bị trước khi kích hoạt. Cơ chế này giúp mã độc chỉ hoạt động với các mục tiêu nằm trong khu vực được lựa chọn, đồng thời gây khó khăn cho quá trình phân tích và thu thập mẫu của các nhà nghiên cứu bảo mật. Khi xâm nhập thành công, mã độc sẽ thiết lập cơ chế duy trì hiện diện trên hệ thống, ghi lại thao tác bàn phím, chụp ảnh màn hình và đánh cắp thông tin đăng nhập ngân hàng của nạn nhân.

Theo các nhà nghiên cứu, chiến dịch hiện chủ yếu nhắm tới các tổ chức tài chính tại khu vực bán đảo Iberia. Tuy nhiên, điều đáng chú ý không nằm ở phạm vi địa lý mà ở kỹ thuật tấn công. Việc lợi dụng các tệp PDF và hình ảnh tưởng chừng vô hại để che giấu mã độc cho thấy xu hướng mới của tội phạm mạng trong việc qua mặt cả người dùng lẫn nhiều lớp bảo mật truyền thống. Đây là kỹ thuật hoàn toàn có thể được sao chép và triển khai trong các chiến dịch nhắm vào doanh nghiệp ở bất kỳ quốc gia nào, bao gồm cả Việt Nam. 

Theo đội ngũ chuyên gia VSEC, thách thức lớn nhất mà Ousaban đặt ra không nằm ở bản thân mã độc, mà ở khả năng ngụy trang tinh vi trong các tệp tin văn phòng thường ngày. Khi tin tặc ưu tiên các kỹ thuật ẩn mình để né tránh hệ thống phòng thủ thụ động, doanh nghiệp buộc phải thay đổi tư duy từ chặn đứng mã độc sang giám sát hành vi liên tục. Việc triển khai các mô hình SOC, EDR cùng hoạt động săn tìm mối đe dọa (Threat Hunting) không còn là lựa chọn, mà đã trở thành yêu cầu thiết yếu để doanh nghiệp chủ động nhận diện rủi ro trước khi thiệt hại thực sự xảy ra. 

Nguồn: The Hacker News.