Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Công an TP Hà Nội, cho biết qua công tác rà soát đã phát hiện mã độc Valley RAT được đính kèm trong tệp “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”, liên kết đến máy chủ điều khiển 27.124.9.13, port 5689.
Theo cơ quan chức năng, tin tặc lợi dụng việc gửi tài liệu phục vụ quá trình lấy ý kiến dự thảo văn kiện để dụ người dùng tải và mở các tệp giả mạo. Khi được cài vào máy, mã độc lập tức tự động kích hoạt mỗi khi khởi động thiết bị, âm thầm kết nối tới máy chủ điều khiển từ xa và thực hiện các hành vi nguy hiểm như đánh cắp thông tin nhạy cảm, chiếm đoạt tài khoản cá nhân, lấy cắp tài liệu nội bộ và lan truyền sang những máy tính khác trong hệ thống.
Mã độc Valley RAT có khả năng chiếm quyền điều khiển hệ thống, tải thêm plugin độc hại, và đánh cắp dữ liệu. Ảnh minh họa.
Quá trình mở rộng rà soát cho thấy nhiều tệp chứa mã độc khác cũng đang được phát tán trong thời gian gần đây, gồm các file có tên như “BÁO CÁO TÀI CHÍNH2.exe”, “THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe”, “CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe”, “HỖ TRỢ KÊ KHAI THUẾ.exe”, “CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe”, “MẪU GIẤY ỦY QUYỀN.exe” hoặc “BIÊN BẢN BÁO CÁO QUÝ III.exe”. Tất cả đều được ngụy trang dưới dạng văn bản hành chính quen thuộc nhằm đánh lừa người dùng.
Công an TP Hà Nội khuyến cáo cơ quan, đơn vị và người dân nâng cao cảnh giác, tuyệt đối không tải về hoặc mở các tệp không rõ nguồn gốc, đặc biệt là tệp thực thi dạng .exe, .dll, .bat, .msi. Các hệ thống thông tin cần thường xuyên được kiểm tra để phát hiện tệp đáng ngờ. Nếu phát hiện dấu hiệu bị tấn công, phải nhanh chóng cách ly thiết bị, ngắt kết nối Internet và báo cáo Trung tâm An ninh mạng quốc gia để được hỗ trợ kỹ thuật.
Người dùng được khuyến nghị quét toàn bộ hệ thống bằng phần mềm bảo mật cập nhật mới nhất thuộc các dòng EDR hoặc XDR. Một số phần mềm có khả năng phát hiện và loại bỏ mã độc tốt gồm Avast, AVG, Bitdefender hoặc Windows Defender bản cập nhật mới. Trong khi đó, bản miễn phí của Kaspersky hiện chưa thể phát hiện loại mã độc này.
Cơ quan chức năng cũng hướng dẫn một số biện pháp kiểm tra thủ công, như sử dụng Process Explorer để phát hiện tiến trình không có chữ ký số hoặc giả mạo tên tài liệu, hay kiểm tra tcpview để theo dõi các kết nối bất thường. Nếu thấy kết nối tới địa chỉ IP 27.124.9.13, người dùng cần lập tức xử lý và báo cáo cơ quan chuyên trách. Các quản trị viên hệ thống được yêu cầu nhanh chóng chặn truy cập tới IP độc hại 27.124.9.13 trên tường lửa nhằm ngăn ngừa nguy cơ lan rộng.
×
About Quỳnh Nga
0 nhận xét:
Post a Comment