Cảnh giác khi mở CV xin việc của 'Le Xuan Son'

Đang có chiến dịch tấn công mạng mới nhắm vào các doanh nghiệp tại Việt Nam. Ảnh minh họa: Bloomberg.

Các nhà nghiên cứu bảo mật tại SEQRITE Labs vừa phát hiện chiến dịch tấn công mạng tinh vi. Mang tên “Operation Hanoi Thief”, chiến dịch nhắm vào các phòng ban công nghệ thông tin, tuyển dụng nhân sự tại Việt Nam bằng cách ngụy trang CV xin việc.

Được phát hiện lần đầu ngày 3/11, tin tặc sử dụng kỹ thuật lan truyền mã độc bằng cách ngụy trang dưới dạng CV xin việc. Mục tiêu của kẻ tấn công nhằm xâm nhập mạng nội bộ, chiếm quyền hệ thống và đánh cắp dữ liệu khách hàng, bí mật doanh nghiệp.

Cách mã độc hoạt động

Theo các chuyên gia bảo mật, kẻ tấn công gửi hàng loạt email hồ sơ xin việc, đính kèm file “Le Xuan Son CV.zip”. Khi giải nén, bên trong chứa 2 file, một file tên “CV.pdf.lnk”, file còn lại có tên “offsec-certified-professional.png”.

Do được ngụy trang dưới biểu tượng PDF và PNG, người dùng có thể lầm tưởng đây là file CV bình thường. Khi nhấn vào, file sẽ kích hoạt virus LOTUSHARVEST, chuyên thu thập thông tin mật khẩu, lịch sử truy cập... rồi gửi về máy chủ của tin tặc.

Theo GBHackers, CV giả mạo mang tên Le Xuan Son đến từ Hà Nội, có tài khoản GitHub từ năm 2021. Tuy nhiên, các nhà nghiên cứu phát hiện tài khoản này không đăng tải bất cứ thông tin, nhiều khả năng chỉ để phục vụ chiến dịch tấn công.

Quá trình tấn công diễn ra theo 3 giai đoạn. Sau khi mở file LNK, tập tin này kích hoạt lệnh đặc biệt qua công cụ ftp.exe có sẵn trong Windows. Đây là kỹ thuật cũ và không còn phổ biến, giúp mã độc vượt qua các lớp kiểm soát cơ bản.

Tin tặc đánh lừa doanh nghiệp bằng cách gửi CV tên "Le Xuan Son". Ảnh: SEQRITE.

Trong giai đoạn 2, hệ thống vẫn bị đánh lừa rằng đây là file PDF hoặc văn bản thô. Tuy nhiên khi phân tích sâu hơn, các nhà nghiên cứu phát hiện đoạn mã độc được chèn ẩn trước phần mở đầu file PDF.

Mã độc lập tức hoạt động, đổi tên công cụ certutil.exe có sẵn trong Windows để tránh bị phát hiện, đồng thời trích xuất dữ liệu chứa gói file độc hại cuối cùng. Dòng lệnh tiếp tục đổi tên file thành “CV-Nguyen-Van-A.pdf” để đánh lừa hệ thống, sau đó trích xuất và giải mã file có tên “MsCtfMonitor.dll”, đặt vào thư mục C:\ProgramData.

Bằng cách sao chép file ctfmon.exe từ System32 vào cùng thư mục, kẻ tấn công khai thác kỹ thuật chiếm quyền điều khiển thứ tự DLL, khiến hệ thống chạy file độc hại thay vì chương trình thông thường.

Cuối cùng, mã độc LOTUSHARVEST được kích hoạt để đánh cắp thông tin. Các dữ liệu này gồm thông tin đăng nhập trên trình duyệt Chrome và Edge, cùng 20 URL được truy cập gần nhất, bao gồm siêu dữ liệu (metadata) liên quan.

Dữ liệu bị đánh cắp được truyền qua API WinINet của Windows, chuyển đến cơ sở hạ tầng của hacker. Phần mềm còn thêm tên máy tính và tên người dùng để tạo hồ sơ nhận dạng trên máy chủ.

Doanh nghiệp Việt Nam cần tăng cường bảo vệ

Điểm đáng lo ngại trong chiến dịch tấn công là LOTUSHARVEST có khả năng ẩn mình và tự hoạt động. Mã độc lợi dụng cơ chế nạp thư viện để duy trì quyền kiểm soát lâu dài và tiếp cận các tài khoản, dữ liệu nhạy cảm, vượt ngoài khả năng bảo vệ của các biện pháp an ninh thông thường.

Theo đánh giá, dữ liệu bị đánh cắp có thể trở thành “chìa khóa” để tin tặc mở rộng xâm nhập, triển khai các công cụ nguy hiểm và biến doanh nghiệp thành mục tiêu tấn công nhiều lớp hoặc tống tiền trong các giai đoạn tiếp theo.

“Mọi dấu hiệu cho thấy chiến dịch Hanoi Thief được lập kế hoạch tỉ mỉ, nhắm trực tiếp vào doanh nghiệp Việt Nam.

Lợi dụng bộ phận tuyển dụng, nơi thường xuyên nhận hồ sơ từ bên ngoài nhưng chưa được trang bị đầy đủ nhận thức an ninh mạng, hacker sử dụng file giả mạo dạng CV hoặc tài liệu và có thể biến đổi liên tục thành nhiều biến thể, khiến nguy cơ lây nhiễm trở nên khó lường”, ông Nguyễn Đình Thủy, Chuyên gia Phân tích mã độc tại Bkav, cho biết.

Các mã lệnh trích xuất lịch sử truy cập và đăng nhập của mã độc. Ảnh: SEQRITE.

Theo ghi nhận của Bkav, đã có doanh nghiệp Việt Nam trở thành nạn nhân của chiến dịch tấn công. Do tính chất nguy hiểm của LOTUSHARVEST và chiến dịch Hanoi Thief, người dùng cần cảnh giác tối đa với các tài liệu nhận qua email.

Các doanh nghiệp, tổ chức cần thường xuyên thực hiện đào tạo định kỳ cho nhân viên, nâng cao nhận thức và cảnh giác trước các chiêu thức lừa đảo trên mạng. Hệ thống giám sát nội bộ cần được tăng cường, theo dõi các thư viện bất thường hoặc tập tin nghi vấn.

Những công cụ mặc định trên hệ điều hành chỉ đáp ứng nhu cầu bảo vệ cơ bản, không đủ khả năng chống lại mã độc, virus hiện đại có khả năng ẩn mình, bám trụ lâu dài và xâm nhập sâu vào hệ thống. Do đó, cần cài đặt hệ thống giám sát email và sử dụng phần mềm diệt virus bản quyền để được bảo vệ tốt nhất.