Cảnh báo tệp ‘CV xin việc’ mở ra là bị đánh cắp dữ liệu hàng loạt
(Thị trường tài chính) - Hàng loạt email hồ sơ xin việc này đã được gửi đến các doanh nghiệp lớn, nhỏ tại Việt Nam.
Ngày 4/12, Công ty an ninh mạng Bkav cảnh báo nhiều doanh nghiệp Việt Nam đã trở thành nạn nhân của chiến dịch tấn công mạng “Hanoi Thief”, được triển khai từ bên ngoài và nhắm trực tiếp vào hệ thống nội bộ doanh nghiệp trong nước. Điểm xuất phát của chiến dịch là các email giả mạo hồ sơ xin việc, đính kèm tệp có tên “Le Xuan Son CV.zip”.
Tệp CV giả mạo chứa mã độc
Bkav cho biết nhiều doanh nghiệp lớn, nhỏ nhận được email đính kèm “Le Xuan Son CV.zip”. Khi giải nén, bên trong chỉ có một file shortcut được làm giả như một bản CV, sử dụng biểu tượng PDF/PNG để đánh lừa. Chỉ cần nhấp chuột mở tệp, mã độc LotusHarvest lập tức kích hoạt.
LotusHarvest chuyên thu thập mật khẩu lưu trên trình duyệt, cookie đăng nhập, lịch sử truy cập Chrome, Edge… và gửi về máy chủ của tin tặc. Mã độc có khả năng ẩn mình sâu trong hệ thống khi lợi dụng cơ chế nạp thư viện, duy trì quyền điều khiển dài hạn và qua mặt các biện pháp phòng vệ cơ bản. Dữ liệu bị đánh cắp có thể được sử dụng để mở rộng xâm nhập hoặc triển khai các đợt tấn công tiếp theo, kể cả tống tiền.
Ông Nguyễn Đình Thủy - Chuyên gia phân tích mã độc Bkav, nhận định các dấu hiệu cho thấy chiến dịch được chuẩn bị kỹ, nhằm vào doanh nghiệp Việt Nam thông qua bộ phận tuyển dụng - nơi thường xuyên nhận tài liệu từ nguồn bên ngoài nhưng chưa được trang bị đầy đủ kỹ năng nhận diện rủi ro. Tin tặc có thể biến đổi các tệp giả mạo thành nhiều biến thể, khiến việc phát hiện càng khó khăn.
Tấn công theo 3 giai đoạn
Các nhà nghiên cứu tại SEQRITE Labs cũng ghi nhận chiến dịch “Operation Hanoi Thief” nhắm vào phòng công nghệ thông tin và phòng tuyển dụng của doanh nghiệp tại Việt Nam, bằng cách gửi hồ sơ xin việc ngụy trang. Chiến dịch được xác định từ ngày 3/11.
Theo đơn vị này, tệp “Le Xuan Son CV.zip” chứa hai file: “CV.pdf.lnk” và “offsec-certified-professional.png”. File LNK, khi được mở, kích hoạt lệnh qua công cụ ftp.exe có sẵn trong Windows. Đây là kỹ thuật cũ nhưng vẫn giúp mã độc vượt qua một số lớp kiểm soát truyền thống.
Giai đoạn kế tiếp, hệ thống tiếp tục bị đánh lừa rằng đây là một file PDF thông thường. Tuy nhiên, phân tích cho thấy đoạn mã độc được chèn trước phần mở đầu file PDF. Khi kích hoạt, mã độc đổi tên công cụ certutil.exe để tránh bị phát hiện rồi giải nén gói độc hại, ghi file “MsCtfMonitor.dll” vào thư mục C:\ProgramData.
Để duy trì quyền kiểm soát, tin tặc sao chép file ctfmon.exe từ System32 vào cùng thư mục. Tại đây, kỹ thuật chiếm quyền điều khiển thứ tự DLL được sử dụng, khiến hệ thống ưu tiên chạy file độc hại thay vì tiến trình thật.
Khi hoàn tất, LotusHarvest bắt đầu thu thập dữ liệu: thông tin đăng nhập từ trình duyệt, 20 URL vừa truy cập cùng siêu dữ liệu liên quan, sau đó gửi về cơ sở hạ tầng của tin tặc thông qua API WinINet của Windows. Phần mềm còn kèm tên máy và tên người dùng để tạo hồ sơ nhận dạng.
SEQRITE cũng ghi nhận tài khoản GitHub tên “Le Xuan Son”, được tạo từ 2021 và hầu như không có hoạt động - dấu hiệu cho thấy tài khoản được dùng để phục vụ chiến dịch tấn công.
Doanh nghiệp cần siết chặt kiểm soát tài liệu qua email
Các chuyên gia khuyến cáo doanh nghiệp tăng mức cảnh giác với tài liệu nhận qua email, đặc biệt hồ sơ xin việc và tệp nén chưa được xác thực. Một thao tác mở file LNK có thể mở đường cho tin tặc xâm nhập sâu vào mạng nội bộ.
Để giảm thiểu rủi ro, doanh nghiệp cần:
- Đào tạo định kỳ về an ninh mạng cho nhân viên, nhất là bộ phận tuyển dụng.
- Tăng cường hệ thống giám sát nội bộ, chú ý các tệp shortcut hoặc tập tin có dấu hiệu bất thường.
- Sử dụng phần mềm diệt virus bản quyền và hệ thống lọc email chuyên dụng.
- Hạn chế mở các tệp nén chứa file LNK, file có biểu tượng nhưng không đúng định dạng.
Theo các chuyên gia, các công cụ bảo vệ mặc định của hệ điều hành chỉ đáp ứng mức cơ bản và khó chống lại các mã độc có khả năng ẩn mình, duy trì bám trụ lâu dài và triển khai tấn công theo nhiều tầng. Với chiến dịch “Hanoi Thief”, việc kết hợp giám sát email, phần mềm bảo mật chuyên sâu và quy trình xử lý tài liệu chặt chẽ là yêu cầu bắt buộc để bảo đảm an toàn hệ thống.
