Điểm nguy hiểm nằm ở chỗ kẻ tấn công không yêu cầu nạn nhân tải bất kỳ file .exe nào. Thay vào đó, chúng hướng dẫn người dùng sao chép một đoạn mã và dán vào hộp thoại Run (Windows + R). Một khi người dùng làm theo, lệnh mshta sẽ được kích hoạt để trích xuất và chạy mã độc ẩn trong hình ảnh. Cơ chế này giúp malware qua mặt các phần mềm diệt virus, vốn thường chỉ phát hiện tệp thực thi thông thường.
Khi đã xâm nhập thành công, mã độc sẽ tải xuống các dòng infostealer nguy hiểm như Rhadamanthys hoặc LummaC2. Những công cụ này có khả năng đánh cắp mật khẩu, tài khoản mạng xã hội, thông tin ngân hàng, ví tiền điện tử, lịch sử duyệt web, thậm chí cả hình ảnh và tài liệu cá nhân. Việc sử dụng hình ảnh để che giấu mã độc khiến việc phát hiện càng trở nên khó khăn, bởi file ảnh trông hoàn toàn vô hại và có thể qua mặt nhiều trình quét bảo mật.
Các chuyên gia khẳng định Microsoft không bao giờ yêu cầu người dùng thực hiện cập nhật Windows bằng cách nhập lệnh thủ công. Do đó, bất cứ trang web nào hiển thị thông báo cập nhật và yêu cầu copy–paste lệnh đều là dấu hiệu rõ ràng của mã độc. Người dùng cần tuyệt đối tránh tải hoặc mở tệp tin, đặc biệt là ảnh, từ nguồn không tin cậy, không làm theo bất kỳ hướng dẫn lạ nào từ trình duyệt; và phải luôn cập nhật hệ điều hành, phần mềm bảo mật chính thống.
Sự xuất hiện của mã độc ngụy trang dưới dạng cập nhật Windows cho thấy mức độ tinh vi ngày càng tăng của tội phạm mạng. Trong bối cảnh không gian mạng phức tạp, người dùng cần nâng cao cảnh giác, tránh để một cú click hoặc một dòng lệnh vô ý trở thành cánh cửa mở cho kẻ gian chiếm đoạt dữ liệu và tài sản.
Thanh Huyền
Theo Cục CNTT - Bộ Tư pháp