Cảnh báo mã độc ngụy trang “văn bản hành chính” chiếm quyền điều khiến máy tính

Công an tỉnh Hà Tĩnh khuyến cáo, khi phát hiện máy tính tại cơ quan có dấu hiệu nhiễm mã độc, cần lập tức cô lập thiết bị, ngắt kết nối internet và thông báo ngay cho bộ phận chuyên trách để được hỗ trợ xử lý.

Ảnh minh họa.

Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) vừa phát hiện loại mã độc nguy hiểm mới, được ngụy trang dưới dạng tập tin văn bản mang tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”. Tập tin này kết nối đến máy chủ điều khiển có địa chỉ 27.124.9.13, cổng 5689, là biến thể của mã độc Valley RAT – công cụ thường được tin tặc sử dụng trong các chiến dịch phishing (đánh lừa người dùng tải tệp chứa mã độc).

Valley RAT thuộc nhóm mã độc nhiều tầng và có cấu trúc phức tạp. Sau khi lây nhiễm, nó có khả năng giám sát hoạt động của hệ thống, điều khiển máy tính và tự động tải thêm các thành phần độc hại khác nhằm mở rộng kiểm soát và ăn sâu vào mạng nội bộ.

Không dừng ở đó, các đối tượng còn phát tán hàng loạt tệp tương tự mang tên dễ gây nhầm lẫn như: “BÁO CÁO TÀI CHÍNH.exe”, “THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe”, “CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe”, “HỖ TRỢ KÊ KHAI THUẾ.exe”, “CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe”, “MẪU GIẤY ỦY QUYỀN.exe”, “BIÊN BẢN BÁO CÁO QUÝ III.exe”,… Tất cả đều là bẫy lừa được tạo nhằm dụ người dùng mở tệp và kích hoạt mã độc.

Để đảm bảo an toàn thông tin, Công an tỉnh Hà Tĩnh (đơn vị đầu mối quản lý an ninh mạng trên địa bàn tỉnh Hà Tĩnh) đề nghị các cơ quan, tổ chức nhanh chóng rà soát hệ thống nội bộ, kiểm tra sự xuất hiện của các tệp khả nghi kể trên. Nếu ghi nhận sự cố, cần cô lập hoàn toàn thiết bị, ngắt kết nối Internet và báo cáo ngay để được hỗ trợ kỹ thuật.

Ngành công an khuyến nghị thực hiện quét toàn bộ hệ thống bằng phần mềm bảo mật mới nhất có tích hợp khả năng EDR/XDR – công cụ giúp phát hiện mã độc ẩn trong bộ nhớ hoặc driver hệ thống. Một số phần mềm có thể sử dụng gồm: Avast (phiên bản miễn phí), AVG (bản miễn phí), Bitdefender (bản miễn phí) hoặc Windows Defender được cập nhật. Công an Hà Tĩnh cũng lưu ý, phần mềm Kaspersky bản miễn phí hiện chưa thể phát hiện loại mã độc này.

Trong trường hợp buộc phải kiểm tra thủ công, người dùng nên sử dụng công cụ Process Explorer để xác định tiến trình không có chữ ký số hoặc tiến trình bị giả mạo tên tệp văn bản. Đồng thời, truy cập tiện ích tcpvievv để kiểm tra kết nối mạng; nếu phát hiện hệ thống đang kết nối tới địa chỉ IP 27.124.9.13, cần xử lý ngay.

Bộ phận công nghệ thông tin tại các đơn vị được yêu cầu gấp rút cấu hình tường lửa hoặc thiết bị bảo mật để chặn truy cập đến IP độc hại 27.124.9.13, ngăn ngừa nguy cơ xâm nhập và kiểm soát hệ thống từ xa.