Theo công ty phân tích các mối đe dọa an ninh mạng Securonix (Mỹ), hệ điều hành Windows của máy tính để bàn (PC) đang bị tấn công bởi một phần mềm độc hại được viết bằng ngôn ngữ lập trình Python. Nó có thể đánh cắp mật khẩu và các dữ liệu nhạy cảm khác từ trình duyệt của nạn nhân.
Phần mềm này là một "trojan độc hại truy cập từ xa (RAT)" có tên là PY#RATION. Nó đang được lan truyền thông qua một chiến dịch lừa đảo sử dụng các tệp ZIP được đặt mật khẩu đính kèm trong các email. Trong các tệp này sẽ có hai tệp đuôi ".ink" được ngụy trang dưới dạng hình ảnh mô tả mặt trước và mặt sau của giấy phép lái xe.
Theo trang tin BleepingComputer, điều làm nên sự khác biệt giữa PY#RATION với các dòng phần mềm độc hại khác trên Windows là nó sử dụng giao thức WebSocket để liên lạc với máy chủ giữ chức năng ra lệnh và kiểm soát (C&C). Tại đây, dữ liệu sẽ được đánh cắp từ các PC nhiễm phần mềm độc hại.
Mặc dù nghiên cứu mới về phần mềm độc hại này chỉ vừa mới được công bố nhưng các nhà phân tích tại Securonix lưu ý rằng, PY#RATION hiện đang được sử dụng trong nhiều cuộc tấn công, và họ đã quan sát thấy nhiều phiên bản của PY#RATION kể từ thời điểm nó được phát tán vào tháng 8 năm ngoái.
Nguồn ảnh: Shutterstock
Mạo danh "trợ lý ảo"
Khi được khởi chạy, hai phím tắt có trong các tệp ZIP sẽ âm thầm giải phóng mã độc vào lúc những người dùng đang xem hình ảnh giấy phép lái xe mà không nghi ngờ gì. Mã này được sử dụng để liên hệ với máy chủ C&C do kẻ tấn công kiểm soát và tải xuống hai tệp văn bản đuôi ".txt", sau đó chúng được đổi tên thành tệp BAT (.bat).
Phần mềm độc hại cũng tạo thêm các thư mục "Cortana" (Trợ lý ảo mà Microsoft dành riêng cho hệ điều hành Windows) và "Cortana/Setup" trong thư mục tạm thời của nạn nhân. Các tệp thực thi khác sau đó được tải xuống, giải nén và chạy từ vị trí này.
PY#RATION có thể "cắm rễ" bền vững trên PC bằng cách thêm một tệp bó (một tệp văn bản có phần mở rộng ".bat") mang tên "CortanaAssist.bat" vào thư mục khởi động của người dùng.
Điều này khiến cho phần mềm độc hại khó bị phát hiện hơn vì người dùng có thể nghĩ rằng đó là tệp hệ thống của Windows và không đề phòng.
Mặc dù trợ lý ảo của Microsoft gần như không còn phổ biến như trước nhưng nó vẫn được đưa vào cả Windows 10 và Windows 11. Có điều, trong phiên bản Windows mới nhất, Cortana không còn được ghim vào thanh tác vụ nữa. Người dùng có thể lựa chọn gỡ bỏ cài đặt Cortana nếu cho rằng trợ lý ảo của Microsoft không cần thiết hoặc làm phiền.
Nguồn ảnh: Shutterstock
Ăn cắp dữ liệu trình duyệt
Phiên bản mới nhất của PY#RATION (1.6.0) chứa một số tính năng giúp tin tặc dễ dàng lấy cắp dữ liệu từ các PC bị nhiễm độc.
Chẳng hạn, phần mềm độc hại có thể truyền tệp đến hoặc truyền đi từ máy chủ C&C, ghi lại các lần gõ phím, phát hiện xem máy bị nhiễm có đang chạy phần mềm chống virus hay không, sau đó đánh cắp dữ liệu nhờ khay nhớ tạm và trích xuất cả mật khẩu, cookie từ trình duyệt web. Tất cả dữ liệu bị đánh cắp sau đó có thể được sử dụng để lừa đảo hoặc thậm chí đánh cắp danh tính.
Bên cạnh việc đánh cắp dữ liệu từ Google Chrome, Brave, Opera và Microsoft Edge, PY#RATION cũng có thể đánh cắp thông tin từ ví điện tử, cũng như dữ liệu hệ thống và dữ liệu người dùng từ PC nhiễm phần mềm độc hại.
Nguồn ảnh: Shutterstock
Làm gì để đảm bảo an toàn?
Securonix cho biết, tiếng Anh là ngôn ngữ chính được sử dụng xuyên suốt PY#RATION và hình ảnh được kẻ xấu sử dụng trong chiến dịch lừa đảo này chủ yếu là bằng lái xe của Vương quốc Anh. Vì vậy, phần mềm độc hại có khả năng được sử dụng để nhắm tới mục tiêu chính là người dùng Windows ở Anh hoặc Bắc Mỹ.
Tuy nhiên, bạn vẫn nên đề phòng dù không ở hai khu vực trên. Để giữ an toàn khỏi các phần mềm độc hại, bạn nên tránh mở email có tệp đính kèm từ những người gửi lạ. Dù các tệp bên trong trông có vẻ không có gì nguy hiểm nhưng vẫn có nguy cơ phần mềm độc hại sẽ được âm thầm phát tán như trường hợp nêu trên.
Cài đặt phần mềm diệt virus loại tốt là một trong những cách có thể ngăn chặn phần mềm độc hại này lây nhiễm vào PC. Nhiều phần mềm diệt virus còn có các biện pháp bảo vệ bổ sung chống lừa đảo.
Ngoài ra, để giữ an toàn cho mật khẩu và các dữ liệu nhạy cảm khác, bạn nên sử dụng trình quản lý mật khẩu tốt nhất, thay vì lưu trữ mật khẩu trong trình duyệt của mình. Bằng cách này, tin tặc sẽ khó tiếp cận với mật khẩu của bạn hơn, ngay cả khi chúng tìm cách lây nhiễm phần mềm độc hại vào máy tính.