Cảnh báo mã độc nguy hiểm được ngụy trang dưới dạng tập tin văn bản

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) vừa phát hiện mã độc nguy hiểm được ngụy trang dưới dạng tập tin văn bản có tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”, địa chỉ máy chủ điều khiển: 27.124.9.13, port 5689, đây là mã độc Valley RAT được dùng để tấn công người dùng trong các chiến dịch phishing (lừa người dùng tải các tập tin mồi nhử chứa mã độc).

Valley RAT là mã độc đa giai đoạn, đa thành phần, có khả năng giám sát, kiểm soát hệ thống bị nhiễm, từ đó tải thêm các thành phần độc hại khác để mở rộng phạm vi tấn công.

Ngoài tập tin trên, tin tặc còn phát tán nhiều tập tin tương tự khác như: BÁO CÁO TÀI CHÍNH.exe; THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe; CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe; HỖ TRỢ KÊ KHAI THUẾ.exe; CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe; MẪU GIẤY ỦY QUYỀN.exe; BIÊN BẢN BÁO CÁO QUÝ III.exe...

Để bảo đảm an ninh mạng, an toàn thông tin, Công an tỉnh (đơn vị chuyên trách về an toàn thông tin mạng) đề nghị các cơ quan, đơn vị trên địa bàn nhanh chóng rà soát trong hệ thống thông tin của đơn vị các tập tin nghi ngờ nói trên. Khi ghi nhận sự cố tại đơn vị, đề nghị cách ly máy tính bị nhiễm mã độc, ngắt kết nối internet và báo cáo ngay Công an tỉnh để được hỗ trợ.

Rà quét toàn bộ hệ thống bằng phần mềm bảo mật cập nhật mới nhất (EDR/XDR) có khả năng phát hiện và diệt mã độc ẩn trong bộ nhớ và các driver độc hại. Các giải pháp khuyến nghị: Avast bản free, AVG bản free, Bitdefender bản free, Windows Defender bản cập nhật mới nhất. Lưu ý: Kaspersky bản free chưa phát hiện được mã độc này.

Trong trường hợp rà quét thủ công, cần kiểm tra trên Process Explorer, nếu phát hiện dấu hiệu tiến trình không có chữ ký số, xuất hiện tên tiến trình giả mạo tên tập tin văn bản; kiểm tra tcpvievv để xem kết nối mạng nếu phát hiện kết nối về IP máy chủ 27.124.9.13.

Bộ phận công nghệ thông tin của các đơn vị, khẩn trương kiểm tra thiết lập chặn truy cập đến địa chỉ IP độc hại: 27.124.9.13 trên thiết bị tường lửa hoặc thiết bị khác có chức năng chặn IP.

Khi phát hiện dấu hiệu mất an ninh mạng, an toàn thông tin đề nghị các đơn vị khẩn trương báo cáo về đầu mối tiếp nhận ứng cứu sự cố an toàn, an ninh thông tin mạng tỉnh (Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, số điện thoại cố định: 069.292.6555, số điện thoại di động: 099.338.6777, email: anm.cat@hatinh.gov.vn, địa chỉ: số 04, đường Nguyễn Thiếp, phường Thành Sen, tỉnh Hà Tĩnh) để phối hợp xử lý.