Nguy hiểm: Mã độc 'biến hình' thành Windows Update, ẩn mình trong các file hình ảnh

Các chuyên gia an ninh mạng vừa phát đi báo động đỏ về sự lột xác nguy hiểm của chiến dịch mã độc "ClickFix". Không chỉ giả mạo giao diện cập nhật Windows giống như thật, hacker còn sử dụng kỹ thuật giấu tin (steganography) để cài cắm mã độc vào các bức ảnh vô hại, qua mặt các lớp bảo mật truyền thống.

Ảnh minh họa.

Khi truy cập vào các trang web bị nhiễm, người dùng sẽ thấy một giao diện chiếm trọn màn hình với thông báo quen thuộc: "Đang thực hiện cập nhật... Vui lòng không tắt máy tính". Tuy nhiên, đây chỉ là một trang web HTML. Kẻ tấn công sẽ hiển thị thông báo lỗi giả hoặc hướng dẫn người dùng thực hiện các bước thủ công để "hoàn tất cập nhật".

Cụ thể, nạn nhân được yêu cầu sao chép một đoạn mã (đã được hacker chuẩn bị sẵn) và dán vào hộp thoại Run (Windows R). Hành động tưởng chừng vô hại này chính là lúc người dùng tự tay kích hoạt lệnh mshta, mở cửa cho mã độc xâm nhập.

Điều khiến biến thể ClickFix mới này trở nên đáng sợ là cách nó lẩn trốn. Thay vì tải xuống một tệp .exe hay .bat dễ bị phát hiện, mã độc tải về các tệp hình ảnh định dạng PNG trông hoàn toàn bình thường.

Tin tặc dụ dỗ các nạn nhân thực thi mã độc dưới giao diện Windows Update.

Sử dụng kỹ thuật Steganography, hacker đã mã hóa mã độc trực tiếp vào các kênh màu (đặc biệt là kênh màu đỏ) của từng điểm ảnh (pixel). Mắt thường không thể nhìn thấy sự bất thường. Khi tập lệnh chạy, nó sẽ "đọc" bức ảnh, trích xuất dữ liệu từ các pixel, ghép lại và tái tạo mã độc ngay trong bộ nhớ máy tính (in-memory).

Vì mã độc không bao giờ tồn tại dưới dạng một tệp thực thi trên ổ cứng, các phần mềm diệt virus dựa trên quét tệp tin (signature-based) rất khó phát hiện ra chúng.

Hậu quả khôn lường Sau khi xâm nhập thành công, mã độc sẽ tiêm vào các quy trình hệ thống tin cậy như explorer.exe. Mục tiêu cuối cùng là triển khai các phần mềm đánh cắp thông tin (infostealer) khét tiếng như Rhadamanthys hay LummaC2, nhằm lấy cắp mật khẩu, ví tiền điện tử và dữ liệu cá nhân của nạn nhân.

Để tránh trở thành nạn nhân, người dùng cần lưu ý:

- Cảnh giác tuyệt đối: Microsoft không bao giờ yêu cầu người dùng chạy lệnh script thủ công để cập nhật Windows.

- Không Copy-Paste mù quáng: Tuyệt đối không dán các đoạn mã lạ từ trình duyệt vào hộp thoại Run, PowerShell hay Command Prompt.

- Kiểm tra nguồn gốc: Nếu trang web hối thúc bạn hành động khẩn cấp (như đếm ngược thời gian), đó thường là dấu hiệu của lừa đảo.

Đào Hoàng - MalwareBytes