Colombia: tin tặc giả mạo thông báo tòa án để cài mã độc đánh cắp dữ liệu

Ảnh minh họa. IBM

Chiến dịch lừa đảo giả mạo hệ thống tư pháp

Tin tặc đã gửi email giả tiếng Tây Ban Nha với tên rất hợp thức, lấy tên “Juzgado 17 Civil Municipal del Circuito de Bogotá” (Tòa án Dân sự số 17 Bogotá). Nội dung đề cập đến vụ kiện đã được nộp chống lại người nhận nhằm gây áp lực và khiến nạn nhân hoang mang. Email đính kèm tệp có tên là “Fiscalia General De La Nacion Juzgado Civil 17.svg” (SVG - đồ họa vecto mở rộng).

Khi mở tệp SVG, một đoạn mã ẩn sẽ chạy và hiển thị trang giả mạo “Văn phòng Tổng chưởng lý”, rồi yêu cầu người dùng tải tệp có tên DOCUMENTO_OFICIAL_JUZGADO.HTA. Tệp này tiếp tục chạy các lệnh ẩn và cuối cùng cài phần mềm gián điệp AsyncRAT vào một chương trình hợp pháp trên máy tính. Thủ thuật này giúp mã độc “ẩn mình” trong chương trình tin cậy, khó bị phần mềm bảo mật phát hiện.

Mã độc AsyncRAT cho phép điều khiển máy tính từ xa: ghi lại bàn phím, thu thập dữ liệu hệ thống, bật webcam và giao tiếp mã hóa với máy chủ điều khiển của tin tặc.

Các nhà phân tích từ Seqrite phát hiện chiến dịch này nhờ hệ thống giám sát mối đe dọa. Họ nhận xét rằng, cách sử dụng tệp SVG là thủ thuật mới xuất hiện gần đây, loại tệp này thường không bị các phần mềm bảo mật truyền thống phát hiện trong các email.

Tính hiệu quả của email giả mạo “thông báo toà án”

Sự thành công của chiến dịch tấn công này đến từ cách thao túng tâm lý nạn nhân, lợi dụng quyền lực và tính cấp bách của thông báo tòa án, người nhận nghĩ mình sẽ phải đối mặt với vấn đề pháp lý và hoang mang, lơi lỏng cảnh giác.

Đồng tời, phương thức giả mạo giao diện cơ quan nhà nước, sử dụng từ ngữ chính thức và tên tổ chức quen thuộc giúp email trông “chính danh” sẽ khiến nạn nhân, ngay cả những người hiểu biết cũng có thể bị đánh lừa và tải mã độc về thiết bị.

SVG - loại file hiển thị đồ họa vector - vốn được xem là vô hại trong nhiều hệ thống. Nhưng trong chiến dịch này, tin tặc chèn mã JavaScript trong định dạng XML của SVG, làm nhiệm vụ “mở đường” cho mã độc sau. Kỹ thuật này giúp qua mặt các biện pháp dò xét phần mềm diệt virus hoặc hệ thống phát hiện mã độc thông thường.

Cảnh giác và thận trọng , biện pháp tự bảo vệ tối ưu nhất

Người dùng nên thận trọng với email có nội dung pháp lý bất ngờ hoặc yêu cầu mở file đính kèm. Không mở file SVG, HTA, hoặc tập tin lạ từ email mà không xác định rõ nguồn gốc. Luôn kiểm tra địa chỉ email người gửi, so sánh với tên cơ quan chính thức. Dùng phần mềm bảo mật được cập nhật, tắt khả năng chạy script tự động nếu có, và sao lưu dữ liệu định kỳ để giảm thiểu rủi ro nếu máy bị xâm nhập.

Nếu nghi ngờ, hãy liên hệ trực tiếp với cơ quan hoặc tổ chức được đề cập (qua website chính thức hoặc số điện thoại xác thực), thay vì mở link hay file đính kèm trong email.

An Lâm(Theo Cyber Security News)