Bảo vệ máy tính khỏi mã độc Macro

15:04 | 15/12/2015 | GIẢI PHÁP KHÁC

Thời gian vừa qua, mã độc MacroBARTALEX ẩn trong thư rác đính kèm tập tin Excel và Microsoft Word đã tấn công hàng loạt doanh nghiệp. Qua theo dõi một lượng lớn thư rác chứa đầy mã độc dạng macro tại khu vực châu Âu, các chuyên gia Trend Micro cho biết, loại mã độc này đang phục hồi mạnh mẽ, tốc độ lây lan nhanh và sự đa dạng về chủng loại biến thể.

Macro là gì?

Macro là tập hợp các lệnh hoặc mã giúp tự động hóa các nhiệm vụ nhất định, nhưng gần đây những kẻ xấu một lần nữa lợi dụng triệt để công cụ này để tự động hóa các nhiệm vụ chứa mã độc.

Về cơ bản, để tiếp cận người dùng, những cuộc tấn công sử dụng mã độc macro thường khởi đầu với tin nhắn hay email rác có chủ đề thu hút sự chú ý của người nhận, chủ yếu liên quan đến tài chính. Trong những trường hợp mã độc được phát hiện ở châu Âu, nội dung tin nhắn hay email (gọi chung là thư rác) thường xoay quanh nội dung về thông báo chuyển tiền hay hóa đơn.

Khi những thư rác này được mở, sẽ có hai kết quả xảy ra và phụ thuộc vào các tập tin đính kèm.

Mã độc macro lây lan qua tài liệu MS Word hay Excel.

Người dùng có thể mở các tập tin đính kèm và xem hướng dẫn cách kích hoạt macro. Các thiết lập bảo mật mặc định trong Microsoft Word sẽ vô hiệu hóa các macro vì chúng có khả năng bảo vệ người dùng trước những âm mưu xâm nhập.

Việc kích hoạt macro sẽ trợ giúp hoạt động của một macro độc hại được mã hóa trong các tập tin Word. Macro này kết nối vào một liên kết URL cụ thể để tải về một VBScript độc hại với khả năng tải về máy dữ liệu “payload” cuối cùng.

Đối với trường hợp này, sẽ không có gì nguy hiểm xảy đến với máy tính người nhận. Đây là một ví dụ về tập tin có phần mở rộng .doc được mã hóa theo chuẩn Base64 đính kèm trong email. Lỗi mã hóa trong quá trình gửi email đến các mục tiêu có thể dẫn đến loại tập tin này.

Dữ liệu payload cuối cùng là gì?

Khi những thư rác được mở, biến thể DRIDEX là dữ liệu payload cuối cùng. DRIDEX - một mã độc với khả năng lấy cắp thông tin cá nhân khi giao dịch ngân hàng trực tuyến thông qua việc thâm nhập HTML (HyperTextMarkupLanguage - ngôn ngữ đánh dấu siêu văn bản).

DRIDEX trực tiếp kế thừa mã độc ngân hàng trực tuyến CRIDEX với những phương thức tấn công nguy hại hơn và kỹ thuật mới giúp tránh bị phát hiện. Khi được cài đặt và hoạt động trên một hệ thống bị tấn công, các biến thể DRIDEX có khả năng chụp ảnh màn hình trình duyệt; cố gắng lấy mẫu (form); kích nhanh; tấn công vào trang con. Mục tiêu của chúng là những tổ chức tài chính ở châu Âu và thực tế mã độc thư rác này đang ảnh hưởng đến người dùng tại khu vực này.

Điều gì khiến bạn phải quan tâm tới macro?

Bản thân macro không gây hại cho người dùng, macro về cơ bản là tự động hóa những nhiệm vụ thường xuyên tiến hành. Vấn đề cần quan tâm chính là khi tội phạm mạng lợi dụng các chức năng của mã macro để tiến hành những phương thức tấn công của chúng.

Người dùng có thói quen sử dụng macro là đích ngắm của mã độc loại này. Nhóm người sử dụng này khi nhận được tài liệu có mã macro sẽ không ngần ngại kích hoạt tính năng macro hoặc thiết lập lệnh “Cho phép bật tất cả Macro”, điều này phổ biến trong một số môi trường làm việc thường trao đổi tập tin chứa macro.

Mã độc macro cũng gây ra những rủi ro nghiêm trọng đối với người dùng không thành thạo về macro trong bộ phần mềm Microsoft Office. Do không có được sự hiểu biết về những rủi ro tiềm tàng và tò mò để mở tập tin, người dùng có thể bỏ qua các cảnh báo bảo mật và cho phép bật macro để xem tài liệu vì tập tin có thể chứa các mục hấp dẫn thu hút họ để mở chúng.

Ngoài những tin nhắn hấp dẫn, một phần của chiến thuật “Socialengineering” (tấn công xã hội) là những hướng dẫn kích hoạt macro kết hợp với những tập tin hợp pháp như Excel và Word, thường được sử dụng trong hoạt động của các doanh nghiệp. Nhân viên rất dễ bị đánh lừa rằng đây thực sự là một tập tin bình thường, hợp pháp và vô tình kích hoạt mã độc macro.

Ai sẽ bị ảnh hưởng bởi thư rác này?

Theo số liệu của Trend Micro, châu Âu, Trung Đông và châu Phi là khu vực bị ảnh hưởng nặng nề nhất, chiếm 92,5% trong số các máy tính bị thâm nhập. Về các quốc gia bị ảnh hưởng, hầu hết hoạt động tấn công xảy ra ở Pháp (84,2%), theo sau là Nhật Bản (2,6%) và Ý (2,2%).

Ba ngành bị ảnh hưởng nhiều nhất là chính phủ, y tế và giáo dục. Nếu chiến thuật Socialengineering thu hút người dùng dưới dạng thông báo hoá đơn và chuyển tiền, nhân viên trong những ngành công nghiệp này sẽ mở các email và tập tin đính kèm vì nghĩ chúng liên quan đến công việc.

Những ảnh hưởng của các mối đe dọa này lên doanh nghiệp?

Không những phát tán mã độc và nguy cơ mất cắp thông tin, năng suất của các doanh nghiệp cũng bị ảnh hưởng bởi số lượng lớn thư rác có chứa mã độc macro. Hoạt động kinh doanh có thể bị gián đoạn vì chúng gây phiền cho nhân viên và bộ phận IT. Đặc biệt, các mẫu mã hóa theo chuẩn Base64 hiển thị những ký tự ASCII trong tập tin .doc đính kèm.

Người dùng nên làm gì để ngăn chặn các mối đe dọa đến máy tính của mình?

Macro vốn dĩ không độc hại, nhưng các chuyên gia bảo mật khuyên người dùng nên kích hoạt tính năng bảo mật macro của Microsoft Word và hãy cảnh giác với bất kỳ tài liệu hướng dẫn vô hiệu hóa các tính năng bảo mật macro. Nên tiến hành những bước bảo mật phức tạp hơn cho máy tính của mình.

Vì mã độc macro thường được gửi qua email nên thiết lập bảo mật cho email là một điều cần thiết. Trước khi mở email, nên kiểm tra thật kỹ thông tin người gửi, không nên mở email từ người lạ hoặc thư rác quảng cáo dù nội dung có vẻ quan trọng. Hãy mở tập tin đính kèm khi chúng được xác nhận.

‹ › ×

Tin liên quan

Quốc hội thông qua Luật An toàn thông tin mạng

13:38 | 19/11/2015

Sáng 19/11/2015, trong phiên họp toàn thể tại hội trường cua Kỳ họp thứ 10 Quốc hội khóa XIII, Đại biểu Quốc hội đã biểu quyết thông qua Luật An toàn thông tin mạng với 85,83% đại biểu tán thành.

Kỹ nghệ xã hội mối đe dọa lớn đối với An toàn thông tin

15:34 | 01/11/2011

Khi các thiết bị và phương tiện bảo vệ thông tin tin cậy ngày càng nhiều thì giới đạo chích, một mặt tiếp tục khai thác các điểm yếu của hệ thống kỹ thuật, mặt khác lại hướng sự chú ý vào khâu yếu nhất của hệ thống, đó là con người.

Tin cùng chuyên mục

An ninh mạng chủ động với quản lý rủi ro bề mặt tấn công

09:00 | 13/02/2024

Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).

Bằng chứng không tiết lộ tri thức và ứng dụng trong an toàn thông tin

09:00 | 24/11/2023

Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.

Những nguyên tắc để tránh bị lừa đảo trên Facebook

08:00 | 07/04/2023

Trong thời đại công nghệ số hiện nay facebook trở thành một ứng dụng hết sức phổ biến, từ trẻ em đến người già đều sở hữu cho mình 1 tài khoản Facebook. Tuy nhiên, đây cũng trở thành miếng mồi béo bở cho tội phạm mạng. Chúng dùng rất nhiều thủ đoạn tinh vi nhằm đánh lừa người dùng và đánh cắp tài khoản Facebook với mục đích xấu. Dưới đây là 8 nguyên tắc giúp người dùng trách bị lừa đảo trên mạng xã hội Facebook.

Ứng dụng công nghệ Blockchain trong bảo vệ quyền sở hữu trí tuệ

09:00 | 13/12/2022

Công nghệ Blockchain (chuỗi khối) tạo ra chuỗi thông tin được bảo vệ an toàn, ghi nhận thời điểm giao dịch và không thể bị thay đổi. Blockchain cũng hứa hẹn một phương pháp hiệu quả trong việc tăng tốc độ quy trình xử lý. Với khả năng chia sẻ thông tin dữ liệu minh bạch, tiết kiệm không gian lưu trữ và bảo mật cao, công nghệ này mang lại nhiều triển vọng trong việc bảo hộ quyền sở hữu trí tuệ (SHTT) - một lĩnh vực đóng vai trò quan trọng trong thúc đẩy đổi mới sáng tạo và phát triển bền vững của các quốc gia.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

An toàn hệ mật RSA trên cơ sở Luật Moore và máy tính lượng tử

Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.

08:00 | 04/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)