Cảnh báo: Người dùng Windows đối mặt nguy cơ bị mã độc đánh cắp thông tin
Người dùng Windows lại đứng trước một mối đe dọa nghiêm trọng. Chỉ vài ngày sau cảnh báo về lỗ hổng zero-day đang bị khai thác, giới an ninh mạng tiếp tục ghi nhận sự trở lại bất ngờ của DanaBot - một mã độc đánh cắp tiền điện tử từng bị cho là đã bị triệt phá hoàn toàn.
Tưởng chừng mối đe dọa mang tên DanaBot đã kết thúc sau Chiến dịch Endgame vào tháng 5, nơi các cơ quan an ninh Mỹ, Anh và châu Âu phối hợp triệt phá cơ sở hạ tầng vận hành mã độc, tiến hành 20 lệnh bắt giữ quốc tế và thu giữ lượng lớn tiền điện tử bị đánh cắp. Song thực tế cho thấy chiến dịch này chưa thể chấm dứt hoàn toàn hoạt động của nhóm tội phạm mạng đứng phía sau.
Theo báo cáo mới từ các nhà nghiên cứu tại công ty bảo mật Zscaler (Mỹ), đăng tải trên nền tảng X, DanaBot đã bất ngờ quay trở lại với phiên bản DanaBot 669 sau gần 6 tháng im ắng. Đây được xem là bản nâng cấp đáng lo ngại, cho thấy nhóm vận hành mã độc đã nhanh chóng tái xây dựng cơ sở hạ tầng và nối lại quy trình tấn công.
DanaBot vốn là một mã độc đánh cắp thông tin, đặc biệt là tiền điện tử được tội phạm mạng rao cho thuê. Mã độc này thường được sử dụng để xâm nhập hệ thống, đánh cắp dữ liệu trình duyệt, ví tiền điện tử, thông tin ngân hàng hoặc tạo bàn đạp cho các cuộc tấn công tống tiền (ransomware) quy mô lớn hơn. Sự trở lại của DanaBot 669 báo hiệu rằng nhóm phát triển vẫn duy trì năng lực kỹ thuật, thậm chí còn tinh vi hơn trước.
Cách DanaBot 669 đang tấn công người dùng Windows
Theo Zscaler, đợt tấn công mới tiếp tục dựa vào 2 phương thức quen thuộc nhưng vẫn hiệu quả, đó là email độc hại (phishing) và quảng cáo độc hại (malvertising). Các kỹ thuật này lợi dụng sự bất cẩn của người dùng hoặc tính tin cậy của các nền tảng tìm kiếm để phát tán tệp cài mã độc.
Email độc hại: Người dùng nhận được email trông như tài liệu công việc, hóa đơn, đơn đặt hàng,…kèm theo tệp đính kèm hoặc liên kết tải xuống. Khi mở tệp, mã độc được kích hoạt và âm thầm chiếm quyền điều khiển hệ thống.
Quảng cáo độc hại: Tin tặc mua quảng cáo trên công cụ tìm kiếm, dẫn người dùng tới trang tải phần mềm giả mạo. Tệp cài đặt bị cài cắm mã độc DanaBot.
Đáng lo ngại hơn, DanaBot 669 dường như đã áp dụng cơ sở hạ tầng liên lạc (C2) mới, được thiết kế nhằm tránh bị phát hiện, đồng thời cải thiện kỹ thuật ẩn mình trong hệ thống Windows 10, Windows 11 và Windows Server.
Các chuyên gia cho rằng sự trở lại này có thể xuất phát từ việc một số thành viên chủ chốt của mạng lưới tội phạm DanaBot chưa bị bắt. Ross Filipek - Giám đốc An ninh thông tin tại Corsica Technologies nhận định rằng nhóm vận hành DanaBot có thể đã “tái tập hợp lực lượng” và tung ra bản nâng cấp mạnh hơn sau thất bại hồi tháng 5.
Người dùng và tổ chức cần làm gì để phòng tránh DanaBot?
Với mức độ nguy hiểm của DanaBot 669, các chuyên gia an ninh mạng đưa ra một số khuyến nghị cấp thiết dành cho cả tổ chức và người dùng cuối.
1. Doanh nghiệp cần tăng cường lớp phòng thủ
Filipek khuyến nghị các tổ chức đang sử dụng hệ thống Windows phải khẩn trương nâng cấp hoặc bổ sung các công cụ an ninh, bao gồm:
- Giám sát mạng nâng cao (Network Monitoring) để phát hiện lưu lượng bất thường.
- Hệ thống phát hiện xâm nhập (IDS/IPS) nhằm nhận diện các liên lạc mã hóa khả nghi giữa máy nạn nhân và máy chủ C2 của DanaBot.
- Bảo vệ đầu cuối (Endpoint Security) có khả năng chống mã độc và phân tích hành vi.
Việc giám sát liên tục là yếu tố then chốt, bởi DanaBot thường xuyên thay đổi cơ sở hạ tầng để vượt qua lớp phòng vệ truyền thống.
2. Người dùng cần cảnh giác tuyệt đối với email và tìm kiếm trên web
Người dùng cá nhân, vốn là mục tiêu lớn nhất của DanaBot, được khuyến nghị:
- Không nhấp vào liên kết hoặc mở tệp đính kèm từ email lạ.
- Tránh tải phần mềm từ quảng cáo tìm kiếm, chỉ dùng trang chính thức.
- Cập nhật Windows và Defender, đặc biệt trong bối cảnh lỗ hổng zero-day mới đang bị khai thác ngoài thực tế.
- Kích hoạt tính năng chống lừa đảo (anti-phishing) trên trình duyệt.
Việc cảnh giác là cần thiết bởi chỉ một cú nhấp chuột sai có thể khiến tài khoản ví tiền điện tử hoặc dữ liệu cá nhân bị đánh cắp ngay lập tức.
Sự trở lại của DanaBot 669 cho thấy môi trường an ninh mạng đang trở nên phức tạp hơn bao giờ hết. Dù từng bị cho là đã bị loại bỏ, nhóm tội phạm vận hành mã độc vẫn có khả năng tái cấu trúc và tấn công người dùng Windows trên quy mô lớn.
Trong bối cảnh lỗ hổng zero-day của Windows vừa bị khai thác, người dùng và tổ chức cần đặc biệt thận trọng. Chỉ bằng cách tăng cường bảo mật, nâng cao cảnh giác và cập nhật hệ thống thường xuyên, chúng ta mới có thể giảm thiểu rủi ro từ làn sóng tấn công mới đang âm thầm lan rộng./.
