Bạn có tin rằng kẻ tấn công có thể điều khiển máy tính của bạn từ xa mà không một phần mềm diệt virus nào phát hiện ra? Chính xác đó là điều mà backdoor DEEP#DOOR đang thực hiện. Loại malware Python này không chỉ đánh cắp mật khẩu trình duyệt mà còn thu thập thông tin đăng nhập các dịch vụ cloud quan trọng. Điều đáng lo ngại nhất là khả năng tàng hình hoàn hảo của nó trước mọi hệ thống bảo mật hiện tại.

Kịch bản tấn công tinh vi từ file batch vô hại

DEEP#DOOR bắt đầu cuộc tấn công bằng cách thực thi file batch có tên "install_obf.bat" - một tên gọi có vẻ vô hại như phần mềm cài đặt thông thường. Tuy nhiên, đây chính là "chìa khóa vàng" mở đường cho toàn bộ chiến dịch xâm nhập. Script này có nhiệm vụ đầu tiên là vô hiệu hóa Windows Defender và các biện pháp bảo mật khác của Windows, tạo ra "vùng đất không người" cho malware hoạt động.

Sau khi "dọn dẹp" môi trường bảo mật, file batch sẽ giải nén và triển khai framework Python phức tạp. Chúng tôi nhận thấy đây là phương pháp tấn công đặc biệt nguy hiểm vì nó khai thác lòng tin của người dùng đối với các file .bat thông thường. Hầu hết người dùng Việt Nam thường không cảnh giác với loại file này, đặc biệt khi chúng được ngụy trang như phần mềm hợp pháp.

Công nghệ tunneling - vũ khí tối thượng của tội phạm mạng

Điểm đột phá của DEEP#DOOR nằm ở việc sử dụng tunneling service để thiết lập kết nối bền vững với máy chủ điều khiển (C&C server). Tunneling service là công nghệ tạo "đường hầm" mã hóa xuyên qua firewall và các hệ thống giám sát mạng. Thay vì kết nối trực tiếp có thể bị phát hiện, malware này "núp bóng" sau các dịch vụ hợp pháp để truyền dữ liệu đã đánh cắp.

Kỹ thuật này cho phép DEEP#DOOR duy trì quyền truy cập lâu dài vào hệ thống bị nhiễm mà không bị nghi ngờ. Framework có khả năng thu thập cookies, mật khẩu đã lưu từ Chrome, Firefox, Edge và các trình duyệt phổ biến khác. Đặc biệt nguy hiểm là khả năng đánh cắp token xác thực của các dịch vụ cloud như Google Drive, Dropbox, AWS, Microsoft 365 - những nền tảng chứa dữ liệu nhạy cảm của cá nhân và doanh nghiệp.

Tác động nghiêm trọng đối với người dùng Việt Nam

Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), Việt Nam ghi nhận hơn 12.000 cuộc tấn công mạng trong 9 tháng đầu năm 2024, tăng 20% so với cùng kỳ năm trước. DEEP#DOOR đặc biệt nguy hiểm với doanh nghiệp Việt khi nhiều tổ chức đang chuyển đổi số và lưu trữ dữ liệu trên cloud. Một khi bị xâm nhập, kẻ tấn công có thể truy cập toàn bộ hệ thống cloud của doanh nghiệp, bao gồm email, tài liệu nội bộ và thông tin khách hàng.

Chúng tôi ước tính thiệt hại từ mỗi vụ tấn công thành công có thể lên đến hàng tỷ đồng, tính cả chi phí khôi phục hệ thống, bồi thường khách hàng và mất uy tín thương hiệu. Đối với người dùng cá nhân, việc mất quyền truy cập các tài khoản ngân hàng online, ví điện tử và mạng xã hội có thể gây ra hậu quả không thể khắc phục.

Biện pháp phòng chống cấp bách cho doanh nghiệp và cá nhân

Bước đầu tiên và quan trọng nhất là tuyệt đối không chạy file .bat từ nguồn không rõ ràng, dù chúng có vẻ hợp pháp. Bật Windows Defender SmartScreen và đảm bảo Windows Defender luôn được cập nhật phiên bản mới nhất. Sử dụng phần mềm antivirus có khả năng phát hiện hành vi bất thường của script thay vì chỉ dựa vào signature truyền thống.

Doanh nghiệp cần triển khai giải pháp Zero Trust Network Access (ZTNA) để hạn chế kết nối đáng ngờ ra bên ngoài. Thiết lập giám sát lưu lượng mạng 24/7 để phát hiện các kết nối tunneling bất thường. Quan trọng nhất là thường xuyên sao lưu dữ liệu offline và kiểm tra tính toàn vẹn của các token xác thực cloud. Chúng tôi khuyến cáo các tổ chức Việt Nam nên đầu tư vào đội ngũ SOC (Security Operations Center) chuyên nghiệp hoặc thuê dịch vụ giám sát an ninh mạng từ các đơn vị uy tín để phát hiện sớm các mối đe dọa như DEEP#DOOR.