Một chiến dịch tấn công mới đã được phát hiện, trong đó tin tặc lợi dụng nhu cầu tìm việc làm của người dùng để phát tán mã độc ValleyRAT. Kỹ thuật này ngụy trang các tệp độc hại thành tài liệu tuyển dụng hợp pháp, nhắm mục tiêu vào những cá nhân đang tích cực tìm kiếm việc làm.

Chiến dịch được biết đến với tên gọi ValleyRAT, phát tán thông qua các tin nhắn email chứa lời mời làm việc giả mạo và tài liệu công ty. Mục tiêu chính là những người dùng đang tìm kiếm việc làm, tận dụng yếu tố tâm lý để lừa đảo.

Kỹ Thuật Xâm Nhập Ban Đầu

Các cuộc tấn công này sử dụng tệp lưu trữ nén, chẳng hạn như định dạng .zip hoặc .rar. Tên của các tệp này được thiết kế để trông chuyên nghiệp và đáng tin cậy.

Ví dụ điển hình bao gồm các tên tệp như “Overview_of_Work_Expectations.zip” hoặc “Candidate_Skills_Assessment_Test.rar”. Việc sử dụng các tên này nhằm mục đích làm giảm sự cảnh giác của nạn nhân.

Khi những người tìm việc nhẹ dạ mở các tệp này, họ vô tình kích hoạt một phần mềm độc hại loại trojan truy cập từ xa (RAT) nguy hiểm vào hệ thống của mình.

Ngụy Trang Tệp Thực Thi và Lợi Dụng Lòng Tin

Thủ đoạn chính của chiến dịch liên quan đến việc khai thác sự phổ biến của ứng dụng Foxit PDF Reader. Bên trong mỗi tệp lưu trữ độc hại là một tệp thực thi được ngụy trang.

Tệp này xuất hiện như một ứng dụng Foxit PDF Reader thực sự, hoàn chỉnh với biểu tượng quen thuộc của chương trình. Người dùng nhìn thấy biểu tượng PDF và tin rằng họ đang mở một tài liệu đơn giản.

Họ hoàn toàn không biết rằng tệp này chứa phần mềm độc hại ẩn, được thiết kế để chiếm quyền kiểm soát máy tính của họ. Kỹ thuật này đặc biệt hiệu quả do người dùng thường tin tưởng các định dạng tệp và biểu tượng ứng dụng quen thuộc.

Kỹ Thuật DLL Side-loading và Chuỗi Lây Nhiễm Mã Độc ValleyRAT

Ngoài sự lừa dối ban đầu, tin tặc còn sử dụng một phương pháp kỹ thuật phức tạp được gọi là DLL Side-loading. Kỹ thuật này cho phép kích hoạt payload độc hại mà không gây ra bất kỳ cảnh báo nào đáng ngờ.

DLL Side-loading là một kỹ thuật tấn công trong đó một chương trình hợp pháp tải một thư viện liên kết động (DLL) độc hại thay vì DLL hợp pháp. Điều này xảy ra khi chương trình tìm kiếm DLL theo một thứ tự nhất định và kẻ tấn công đặt DLL độc hại vào một vị trí mà chương trình sẽ tìm kiếm trước DLL hợp pháp.

Chiến dịch này đã được các nhà nghiên cứu bảo mật của Trend Micro xác định sau khi quan sát thấy sự gia tăng đáng kể các phát hiện về mã độc ValleyRAT vào cuối tháng 10.

Sự thành công của phần mềm độc hại này xuất phát từ việc kết hợp nhiều kỹ thuật tấn công hoạt động liền mạch với nhau. Việc kết hợp lừa đảo xã hội (social engineering) và kỹ thuật né tránh giúp tăng cường hiệu quả của chiến dịch.

Quy Trình Lây Nhiễm Chi Tiết

Quy trình lây nhiễm diễn ra theo một chuỗi sự kiện được dàn dựng cẩn thận. Khi người dùng nhấp vào tệp thực thi Foxit đã được đổi tên, một thư viện độc hại (msimg32.dll) sẽ tự động được tải.

Việc tải này được thực hiện thông qua cơ chế tìm kiếm tệp của Windows, lợi dụng cách mà các ứng dụng tìm và tải các DLL cần thiết. Kỹ thuật DLL Side-loading này cho phép tệp độc hại được thực thi trong ngữ cảnh của một ứng dụng hợp pháp.

Tiếp theo, một tập lệnh batch được kích hoạt, trích xuất một môi trường Python ẩn được lưu trữ trong các tệp tài liệu dường như vô hại. Môi trường Python này được sử dụng để tải xuống và thực thi một script độc hại.

Script độc hại này chứa shellcode, thành phần cuối cùng để triển khai toàn bộ mã độc ValleyRAT. Sau khi triển khai, trojan ValleyRAT sẽ chiếm quyền kiểm soát hệ thống.

# Ví dụ lệnh kích hoạt môi trường Python và thực thi script (giả định) 
> cmd.exe /c "start /min python.exe hidden_script.py"

Cơ Chế Hoạt Động và Ảnh Hưởng của Mã Độc ValleyRAT

Sau khi được kích hoạt, mã độc ValleyRAT sẽ chạy ngầm trong nền, trong khi người dùng vẫn nhìn thấy một tin tuyển dụng giả mạo trên màn hình. Quá trình này giúp kẻ tấn công duy trì sự ẩn mình và kéo dài thời gian phát hiện.

Để đảm bảo duy trì quyền truy cập vào hệ thống, phần mềm độc hại thiết lập cơ chế duy trì (persistence) bằng cách tạo các mục đăng ký (registry entries). Điều này đảm bảo rằng mã độc sẽ tồn tại qua các lần khởi động lại hệ thống, cho phép tin tặc duy trì kiểm soát lâu dài.

# Ví dụ mục đăng ký (Registry Entry) để duy trì (giả định)
# HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
# "MaliciousApp" = "C:UsersPublicmalware.exe"

Khả Năng Kiểm Soát và Đánh Cắp Dữ Liệu

Một khi được cài đặt, ValleyRAT cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn các máy tính bị xâm nhập. Trojan này có khả năng giám sát hoạt động của người dùng, bao gồm các thao tác bàn phím, hoạt động chuột và các ứng dụng đang chạy.

Nó cũng có thể đánh cắp thông tin nhạy cảm từ các trình duyệt web, bao gồm dữ liệu mật khẩu và thông tin đăng nhập. Dữ liệu giá trị khác cũng có thể bị trích xuất từ các hệ thống bị nhiễm.

Bằng chứng cho thấy phần mềm độc hại này nhắm mục tiêu rõ ràng vào thông tin mật khẩu và thông tin đăng nhập được lưu trữ bởi các trình duyệt phổ biến. Điều này đặt ra một rủi ro bảo mật đáng kể đối với an ninh tài chính cá nhân và bảo vệ danh tính của người dùng.

Các nạn nhân chính của chiến dịch vẫn là những người tìm việc và các chuyên gia nhân sự. Tuy nhiên, chiến dịch này không ngừng phát triển để tiếp cận đối tượng rộng hơn, mở rộng phạm vi tấn công và tăng cường hiệu quả.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Việc nhận diện các chỉ số thỏa hiệp (IOCs) là rất quan trọng để phát hiện và ngăn chặn tấn công mạng liên quan đến mã độc ValleyRAT. Dưới đây là các IOCs chính được xác định:

• Tên tệp lưu trữ độc hại:
  • Overview_of_Work_Expectations.zip
  • Candidate_Skills_Assessment_Test.rar
  • Các biến thể tương tự được ngụy trang dưới dạng tài liệu tuyển dụng.
• Tên tệp DLL độc hại:
  • msimg32.dll (được sử dụng trong kỹ thuật DLL Side-loading).
• Tên phần mềm độc hại:
  • ValleyRAT (Trojan truy cập từ xa).
• Mục đăng ký độc hại:
  • Các mục được tạo trong HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun hoặc các khóa chạy tự động tương tự để duy trì.

Các tổ chức và cá nhân nên chủ động theo dõi các IOC này trong hệ thống của mình để phát hiện sớm các dấu hiệu lây nhiễm.

Biện Pháp Phòng Tránh và Bảo Vệ

Để giảm thiểu rủi ro bảo mật từ các chiến dịch như mã độc ValleyRAT, cả người tìm việc và chuyên gia nhân sự cần thực hiện các biện pháp phòng ngừa chặt chẽ:

• Kiểm tra nguồn gốc email: Luôn xác minh địa chỉ email của người gửi. Cẩn trọng với các email từ địa chỉ không quen thuộc hoặc có tên miền đáng ngờ, ngay cả khi nội dung có vẻ chuyên nghiệp.
• Kiểm tra tệp đính kèm: Tránh mở các tệp đính kèm từ các nguồn không xác định hoặc không được yêu cầu. Luôn quét các tệp đính kèm bằng phần mềm diệt virus/chống mã độc trước khi mở.
• Kiểm tra phần mở rộng tệp: Chú ý đến phần mở rộng thực sự của tệp. Một tệp có biểu tượng PDF nhưng phần mở rộng là .exe, .scr, .dll hoặc .js là dấu hiệu của mã độc.
• Cập nhật hệ thống và phần mềm: Đảm bảo hệ điều hành, trình duyệt web và các ứng dụng bảo mật luôn được cập nhật phiên bản mới nhất. Các bản vá bảo mật thường xuyên giúp khắc phục các lỗ hổng đã biết.
• Đào tạo nhận thức bảo mật: Nâng cao nhận thức về các kỹ thuật lừa đảo xã hội và các mối đe dọa trực tuyến. Đặc biệt nhấn mạnh tầm quan trọng của việc cảnh giác khi xử lý thông tin liên quan đến tuyển dụng.
• Sử dụng giải pháp bảo mật Endpoint: Triển khai và duy trì các giải pháp bảo mật endpoint mạnh mẽ có khả năng phát hiện và ngăn chặn các mối đe dọa nâng cao, bao gồm cả các trojan truy cập từ xa như mã độc ValleyRAT.

Sự cảnh giác và áp dụng các biện pháp bảo mật phù hợp là chìa khóa để bảo vệ bản thân và tổ chức khỏi các cuộc tấn công mạng ngày càng tinh vi.