Cảnh báo mã độc nguy hiểm Valley RAT lợi dụng góp ý Văn kiện Đại hội Đảng XIV để đánh cắp dữ liệu

Lợi dụng hoạt động lấy ý kiến góp ý dự thảo các văn kiện trình Đại hội đại biểu toàn quốc lần thứ XIV của Đảng, các đối tượng xấu đã cài cắm phần mềm có mã độc nhằm thực hiện các hoạt động phá hoại, đánh cắp dữ liệu thông tin.

Qua công tác nắm tình hình, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố Hà Nội phát hiện mã độc Valley RAT liên kết đến địa chỉ máy chủ điều khiển (C2): 27.124.9.13, port 5689, được ẩn giấu trong tệp có tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”. Các đối tượng lợi dụng hoạt động lấy ý kiến dự thảo các văn kiện trình Đại hội để lừa người dùng cài đặt, thực hiện các hành vi nguy hiểm như đánh cắp thông tin nhạy cảm, chiếm đoạt tài khoản cá nhân, đánh cắp tài liệu, phát tán mã độc sang các máy tính khác.

Kết quả phân tích cho thấy mã độc sau khi được cài vào máy tính người dùng sẽ tự động thực thi mỗi khi khởi động máy, kết nối đến máy chủ điều khiển từ xa do tin tặc chiếm giữ, từ đó tiếp tục thực hiện các hành vi nguy hiểm nói trên. Mở rộng rà soát, phát hiện các tập tin mã độc khác có kết nối đến máy chủ C2 mà tin tặc đã phát tán trong thời gian gần đây:

(1) BÁO CÁO TÀI CHÍNH2.exe hoặc THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe

(2) CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe

(3) HỖ TRỢ KÊ KHAI THUẾ.exe

(4) CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe hoặc MẪU GIẤY ỦY QUYỀN.exe

(5) BIÊN BẢN BÁO CÁO QUÝ III.exe

Để chủ động phòng ngừa, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, CATP Hà Nội khuyến cáo người dân:

Nâng cao cảnh giác, không tải, cài đặt, mở các tập tin không rõ nguồn gốc (đặc biệt các tập tin thực thi có đuôi .exe, .dll, .bat, .msi,…).

Rà soát hệ thống thông tin của đơn vị, địa phương để phát hiện các tập tin nghi ngờ. Nếu ghi nhận sự cố, cách ly máy bị nhiễm, ngắt kết nối Internet và báo cáo về Trung tâm An ninh mạng quốc gia để được hỗ trợ.

Quét toàn bộ hệ thống bằng phần mềm bảo mật cập nhật mới nhất (EDR/XDR) có khả năng phát hiện và diệt mã độc ẩn. Khuyến nghị sử dụng: Avast, AVG, Bitdefender (bản free) hoặc Windows Defender cập nhật mới nhất.

Lưu ý: Kaspersky bản free hiện chưa phát hiện được mã độc này.

Rà quét thủ công: Kiểm tra trên Process Explorer, nếu thấy tiến trình không có chữ ký số hoặc giả mạo tên tập tin văn bản; kiểm tra tcpview để xem kết nối mạng, nếu phát hiện kết nối về IP 27[.]124[.]9[.]13 thì cần xử lý ngay; quản trị viên cần khẩn trương block trên firewall, ngăn chặn truy cập đến địa chỉ IP độc hại 27.124.9.13.