Malware trên WhatsApp Web lan truyền trojan ngân hàng tự động

Một chiến dịch tấn công bằng phần mềm độc hại mới đang biến WhatsApp Web thành một vũ khí. Các nhà nghiên cứu bảo mật cho biết một trojan ngân hàng liên kết với Astaroth hiện đang tự động lan truyền thông qua các tin nhắn trò chuyện, khiến cuộc tấn công khó ngăn chặn hơn một khi nó bắt đầu.

Chiến dịch này được gọi là Boto Cor-de-Rosa. Nó cho thấy tội phạm mạng liên tục phát triển, đặc biệt khi chúng có thể lạm dụng các công cụ mà mọi người tin dùng hàng ngày. Cuộc tấn công này nhắm vào người dùng Windows và sử dụng WhatsApp Web làm cả hệ thống phân phối và công cụ lan truyền sự lây nhiễm xa hơn.

Cuộc tấn công bắt đầu bằng một tin nhắn đơn giản. Một liên hệ gửi một tệp ZIP có vẻ như thông thường qua WhatsApp. Tên tệp có vẻ ngẫu nhiên và vô hại, làm giảm sự nghi ngờ. Khi mở, tệp ZIP chứa một tập lệnh Visual Basic được ngụy trang thành một tài liệu bình thường. Nếu người dùng chạy nó, tập lệnh sẽ lặng lẽ kéo vào hai phần mềm độc hại khác. Sau đó, tập lệnh tải xuống phần mềm độc hại ngân hàng Astaroth được viết bằng Delphi. Nó cũng cài đặt một mô-đun dựa trên Python được thiết kế để kiểm soát WhatsApp Web. Cả hai thành phần đều chạy trong nền mà không có bất kỳ dấu hiệu cảnh báo rõ ràng nào. Từ đó, sự lây nhiễm trở nên tự duy trì.

Điều làm cho chiến dịch này đặc biệt nguy hiểm là cách nó lan truyền. Mô-đun Python quét các liên hệ WhatsApp của nạn nhân và tự động gửi tệp ZIP độc hại đến mọi cuộc trò chuyện. Các nhà nghiên cứu tại Acronis nhận thấy rằng phần mềm độc hại điều chỉnh các tin nhắn của mình dựa trên thời gian trong ngày. Nó gửi những lời chào thân thiện, làm cho tin nhắn có cảm giác bình thường và quen thuộc. Văn bản có nội dung: “Đây là tệp được yêu cầu. Nếu bạn có bất kỳ câu hỏi nào, tôi luôn sẵn lòng!” Vì tin nhắn dường như đến từ một người bạn biết, nên nhiều người mở nó mà không do dự.

Phần mềm độc hại này được thiết kế cẩn thận để theo dõi hiệu suất của chính nó trong thời gian thực. Công cụ lan truyền theo dõi có bao nhiêu tin nhắn được gửi thành công, có bao nhiêu tin nhắn không gửi được và tốc độ gửi tổng thể được đo bằng phút. Sau mỗi 50 tin nhắn, nó tạo ra các bản cập nhật tiến trình cho thấy đã tiếp cận bao nhiêu liên hệ. Phản hồi này cho phép những kẻ tấn công đo lường thành công một cách nhanh chóng và thực hiện các điều chỉnh nếu có điều gì đó ngừng hoạt động.

Tập lệnh ban đầu được che giấu rất nhiều để tránh bị các công cụ chống vi-rút phát hiện. Sau khi chạy, nó sẽ khởi chạy các lệnh PowerShell tải xuống nhiều phần mềm độc hại hơn từ các trang web bị xâm phạm. Một tên miền được biết đến được sử dụng trong chiến dịch này là coffe-estilo.com. Phần mềm độc hại tự cài đặt bên trong một thư mục bắt chước một thư mục bộ nhớ cache của Microsoft Edge. Bên trong là các tệp thực thi và thư viện tạo thành toàn bộ tải trọng ngân hàng Astaroth. Từ đó, phần mềm độc hại có thể đánh cắp thông tin đăng nhập, theo dõi hoạt động và có khả năng truy cập vào tài khoản tài chính.

WhatsApp Web là một mục tiêu hấp dẫn vì nó phản ánh các cuộc trò chuyện trên điện thoại của bạn trên máy tính. Sự tiện lợi đó giúp bạn dễ dàng gửi tin nhắn, chia sẻ tệp và gõ nhanh hơn, nhưng nó cũng làm tăng rủi ro. Khi bạn sử dụng WhatsApp Web, bạn liên kết điện thoại của mình với trình duyệt bằng cách quét mã QR tại web.whatsapp.com. Sau khi được kết nối, phiên trình duyệt đó sẽ trở thành một phần mở rộng đáng tin cậy của tài khoản của bạn. Các cuộc trò chuyện của bạn xuất hiện trên màn hình, các tin nhắn bạn gửi đến từ số thực của bạn và các tin nhắn đến đồng bộ trên cả hai thiết bị.

Thiết lập đó chính xác là những gì những kẻ tấn công tận dụng. Nếu phần mềm độc hại có quyền truy cập vào một máy tính có WhatsApp Web đã đăng nhập, nó có thể hành động như người dùng. Nó có thể đọc tin nhắn, truy cập danh sách liên hệ và gửi tệp hoặc liên kết có vẻ hoàn toàn hợp pháp. Các tin nhắn không gây ra báo động vì chúng đến từ một tài khoản thực, không phải là một tài khoản giả.

Đây là những gì biến WhatsApp Web thành một hệ thống phân phối hiệu quả cho phần mềm độc hại. Thay vì đột nhập vào chính WhatsApp, những kẻ tấn công chỉ cần lạm dụng một phiên trình duyệt đang mở để tự động lan truyền các tệp độc hại. Nhiều người dùng không nhận ra mối nguy hiểm vì WhatsApp Web có vẻ vô hại. Nó thường được giữ đăng nhập trên máy tính làm việc, thiết bị dùng chung hoặc các hệ thống không có bảo mật mạnh. Trong những tình huống đó, phần mềm độc hại không cần các thủ thuật nâng cao. Nó chỉ cần quyền truy cập vào một phiên đã được tin cậy. Sự kết hợp giữa sự tiện lợi và sự tin tưởng đó là lý do tại sao WhatsApp Web đã trở thành một mục tiêu hấp dẫn như vậy.

Các cuộc tấn công như phần mềm độc hại WhatsApp Web này được thiết kế để lan truyền nhanh chóng thông qua các cuộc trò chuyện đáng tin cậy. Một vài thói quen thông minh có thể làm giảm đáng kể rủi ro của bạn. Cảnh giác với các tệp đính kèm không mong muốn. Khóa quyền truy cập WhatsApp Web và sử dụng phần mềm chống vi-rút mạnh mẽ.

Theo Kurt “CyberGuy” Knutsson của Fox News, các cuộc tấn công mạng không còn dựa vào các dấu hiệu cảnh báo rõ ràng. Thay vào đó, chúng hòa trộn vào các cuộc trò chuyện hàng ngày và sử dụng các công cụ quen thuộc để lan truyền một cách lặng lẽ và nhanh chóng. Một cú nhấp chuột duy nhất có thể biến một cuộc trò chuyện đáng tin cậy thành một hệ thống phân phối phần mềm độc hại ngân hàng và đánh cắp danh tính. Chú ý đến các tệp đính kèm, khóa quyền truy cập WhatsApp Web, luôn cập nhật thiết bị và cẩn thận trước khi nhấp chuột có thể ngăn chặn các cuộc tấn công này.

Tin từ Fox News.