Cảnh báo chiến dịch phishing nhắm vào người dùng Windows 11: Giả mạo update 24H2 để phát tán mã độc
Người dùng Windows 11 đang đối mặt với mối đe dọa lừa đảo: “bản cập nhật 24H2” dung lượng 83MB có thể đánh cắp dữ liệu của bạn.
Công ty an ninh mạng Malwarebytes mới đây đã tiết lộ rằng một trang web giả mạo hỗ trợ của Microsoft đang phát tán “bản cập nhật Windows” độc hại.
Ảnh Malwarebytes
Kẻ tấn công đã đăng ký các tên miền dễ gây nhầm lẫn, sao chép giao diện (UI) và màu sắc của trang chính thức Microsoft, thậm chí còn làm giả cả mã số Knowledge Base (KB) nhằm dụ người dùng tải xuống gói cài đặt dung lượng 83MB.
Cuộc tấn công này chủ yếu nhắm vào người dùng tại Pháp, trùng thời điểm chính phủ nước này tuyên bố từ bỏ Windows để chuyển sang Linux. Dù hai sự việc có thể không liên quan trực tiếp, nhưng thời điểm xuất hiện khá nhạy cảm.
Để khiến mã độc trông đáng tin hơn, kẻ tấn công đã sử dụng các công cụ phát triển hợp pháp nhằm đánh lừa người dùng. Gói cài đặt được xây dựng bằng WiX Toolset và triển khai một ứng dụng dựa trên Electron — thực chất là một lớp vỏ bao quanh trình duyệt Chromium.
Phương pháp phân tầng này đã giúp mã độc vượt qua các phần mềm diệt virus. Khi Malwarebytes tiến hành phân tích, hàng chục công cụ bảo mật đều không phát hiện được mối đe dọa.
Khi người dùng chạy file cài đặt, một script Visual Basic sẽ kích hoạt ứng dụng Electron, sau đó gọi tới một tiến trình Python được ngụy trang. Tiến trình này sẽ cài đặt nhiều bộ công cụ đánh cắp dữ liệu, có khả năng trích xuất tài khoản và mật khẩu lưu trong trình duyệt, token Discord cũng như thông tin thanh toán.
Để duy trì hoạt động lâu dài, mã độc còn đảm bảo có thể chạy lại sau khi hệ thống khởi động lại bằng cách ngụy trang thành thành phần bảo mật của Windows trong Registry, đồng thời giả dạng shortcut của Spotify trong danh sách khởi động.
Điểm đáng chú ý là mã cập nhật KB5034765 mà kẻ tấn công sử dụng thực chất là bản vá cũ được phát hành vào tháng 2/2024, chỉ áp dụng cho Windows 11 phiên bản 23H2 và 22H2 — hoàn toàn không phải 24H2 như nội dung trang web giả mạo tuyên bố.
Công ty an ninh mạng Malwarebytes mới đây đã tiết lộ rằng một trang web giả mạo hỗ trợ của Microsoft đang phát tán “bản cập nhật Windows” độc hại.
Ảnh Malwarebytes
Cuộc tấn công này chủ yếu nhắm vào người dùng tại Pháp, trùng thời điểm chính phủ nước này tuyên bố từ bỏ Windows để chuyển sang Linux. Dù hai sự việc có thể không liên quan trực tiếp, nhưng thời điểm xuất hiện khá nhạy cảm.
Để khiến mã độc trông đáng tin hơn, kẻ tấn công đã sử dụng các công cụ phát triển hợp pháp nhằm đánh lừa người dùng. Gói cài đặt được xây dựng bằng WiX Toolset và triển khai một ứng dụng dựa trên Electron — thực chất là một lớp vỏ bao quanh trình duyệt Chromium.
Phương pháp phân tầng này đã giúp mã độc vượt qua các phần mềm diệt virus. Khi Malwarebytes tiến hành phân tích, hàng chục công cụ bảo mật đều không phát hiện được mối đe dọa.
Khi người dùng chạy file cài đặt, một script Visual Basic sẽ kích hoạt ứng dụng Electron, sau đó gọi tới một tiến trình Python được ngụy trang. Tiến trình này sẽ cài đặt nhiều bộ công cụ đánh cắp dữ liệu, có khả năng trích xuất tài khoản và mật khẩu lưu trong trình duyệt, token Discord cũng như thông tin thanh toán.
Để duy trì hoạt động lâu dài, mã độc còn đảm bảo có thể chạy lại sau khi hệ thống khởi động lại bằng cách ngụy trang thành thành phần bảo mật của Windows trong Registry, đồng thời giả dạng shortcut của Spotify trong danh sách khởi động.
Điểm đáng chú ý là mã cập nhật KB5034765 mà kẻ tấn công sử dụng thực chất là bản vá cũ được phát hành vào tháng 2/2024, chỉ áp dụng cho Windows 11 phiên bản 23H2 và 22H2 — hoàn toàn không phải 24H2 như nội dung trang web giả mạo tuyên bố.