App máy tính của Windows bị lợi dụng để lây mã độc

Sử dụng app máy tính mặc định của Windows, tin tặc có thể lây nhiễm mã độc vào thiết bị để đánh cắp thông tin hoặc tống tiền.

Nhà nghiên cứu bảo mật "ProxyLife" vừa phát hiện thủ đoạn sử dụng app máy tính của Windows 7 để tấn công vào thiết bị cài các phiên bản mới hơn. Nếu không cẩn thận, người dùng sẽ khiến máy tính bị nhiễm QBot, mã độc đánh cắp thông tin cá nhân hoặc tống tiền.

Theo Bleeping Computer, tin tặc sẽ "dụ dỗ" người dùng bằng cách gửi email chứa file định dạng web (HTML). Khi mở file này, trình duyệt sẽ tải file nén (ZIP) được cài mật khẩu, bên trong chứa một file khác dưới định dạng ISO. Việc đặt mật khẩu giúp phần mềm diệt virus trên máy tính không thể quét và phát hiện điểm nghi ngờ.

Bên trong tập tin ISO chứa một file phím tắt (LNK) và ứng dụng "calc.exe", là app máy tính mặc định của Windows 7. Thư mục còn chứa 2 file DLL, gồm các đoạn mã giúp ứng dụng hoạt động. Trong đó, file "WindowsCodecs.dll" bị chỉnh sửa để liên kết đến file chứa mã độc, có tên "102755.dll".

Ban đầu khi mở file ISO, người dùng chỉ nhìn thấy tập tin LNK, được ngụy trang dưới tài liệu báo cáo dạng PDF. Thực chất, đây là phím tắt dẫn đến file "calc.exe" nằm cùng thư mục. Mở file PDF đồng nghĩa ứng dụng máy tính "calc.exe" được kích hoạt, kèm các file DLL chứa mã độc.

Cụ thể, "calc.exe" liên kết với "WindowsCodecs.dll", file này tiếp tục dẫn đến "102755.dll" để lây nhiễm QBot vào thiết bị. Do tập tin "calc.exe" được xem như ứng dụng tin cậy, hệ thống bảo mật của Windows sẽ không cảnh báo khi người dùng truy cập.

Lý do tin tặc sử dụng file "calc.exe" của Windows 7 là khi kích hoạt, ứng dụng này sẽ ưu tiên liên kết với file DLL nằm cùng thư mục (nếu có). Trong khi đó, app máy tính trên các bản Windows mới luôn tìm đến file DLL thuộc thư mục hệ thống.

QBot (Qakbot) xuất hiện từ năm 2009. Ban đầu, QBot hoạt động dưới dạng trojan chuyên đánh cắp tài khoản ngân hàng, sau đó phát triển thành mã độc (malware), được dùng bởi các tổ chức tin tặc để đánh cắp thông tin, hoặc hỗ trợ lây nhiễm mã độc tống tiền (ransomware).

Chiến dịch lây nhiễm QBot bằng ứng dụng máy tính được "ProxyLife" phát hiện từ giữa tháng 7. Hiện chưa rõ Microsoft có cập nhật Windows Defender để ngăn chặn kiểu tấn công này hay không. Người dùng có thể phòng tránh bằng cách không tải file từ trang web hoặc email lạ.