Bạn có tin rằng chỉ việc tải phần mềm từ website chính thức cũng có thể khiến máy tính bị nhiễm mã độc? Các nhà nghiên cứu bảo mật Kaspersky vừa phát hiện một cuộc tấn công supply-chain (tấn công chuỗi cung ứng) nghiêm trọng nhắm vào Daemon Tools - phần mềm mount đĩa ảo được hàng triệu người dùng tin tưởng. Thủ phạm đã xâm nhập và chỉnh sửa trực tiếp các file cài đặt trên website chính thức của công ty, biến mỗi lần download thành một cơ hội để cài đặt mã độc lên máy nạn nhân.

Khi website chính thức trở thành bẫy mã độc

Daemon Tools là một trong những phần mềm mount đĩa ảo phổ biến nhất thế giới, cho phép người dùng tạo ra ổ đĩa ảo để chạy file ISO, VHD và nhiều định dạng khác. Với hàng triệu lượt tải xuống mỗi năm, đây chính là mục tiêu béo bở cho các hacker muốn phát tán mã độc trên quy mô lớn. Thay vì phải lừa người dùng tải phần mềm từ nguồn không rõ ràng, tin tặc đã chọn cách tiếp cận tinh vi hơn: xâm nhập trực tiếp vào hệ thống phân phối chính thức.

Theo phân tích của Kaspersky, kẻ tấn công đã thành công trong việc thay thế các file installer gốc bằng phiên bản đã bị nhiễm độc trên chính website daemon-tools.cc. Điều đáng lo ngại là người dùng hoàn toàn không thể phân biệt được sự khác biệt này bằng mắt thường. File cài đặt vẫn có giao diện quen thuộc, vẫn cài đặt Daemon Tools bình thường, nhưng âm thầm cài thêm payload độc hại vào hệ thống.

Giải mã kỹ thuật đằng sau cuộc tấn công tinh vi

Supply-chain attack (tấn công chuỗi cung ứng) là phương thức tấn công mà hacker nhắm vào các nhà cung cấp phần mềm thay vì tấn công trực tiếp vào mục tiêu cuối. Trong trường hợp này, thay vì phải hack từng máy tính riêng lẻ, tin tặc chỉ cần xâm nhập một lần vào server phân phối của Daemon Tools để có thể tiếp cận hàng triệu máy tính. Đây chính là lý do khiến loại tấn công này trở nên cực kỳ nguy hiểm và được các nhóm APT (Advanced Persistent Threat) ưa chuộng.

Chúng tôi cho rằng việc lựa chọn Daemon Tools không phải là ngẫu nhiên. Phần mềm này thường được cài đặt với quyền Administrator, tạo điều kiện thuận lợi cho mã độc hoạt động với đặc quyền cao nhất trên hệ thống. Hơn nữa, người dùng Daemon Tools thường là những người am hiểu công nghệ, họ ít nghi ngờ khi tải phần mềm từ website chính thức và thường tắt antivirus trong quá trình cài đặt để tránh false positive.

Tác động lan rộng của cuộc tấn công toàn cầu

Mặc dù Kaspersky chưa công bố con số chính xác về số lượng máy tính bị ảnh hưởng, nhưng với độ phổ biến của Daemon Tools, chúng tôi ước tính có thể có hàng chục ngàn đến hàng trăm ngàn máy tính đã tải về phiên bản nhiễm độc. Điều đáng lo ngại hơn là cuộc tấn công này có thể đã diễn ra trong một thời gian dài trước khi được phát hiện, khiến số lượng nạn nhân thực tế có thể cao hơn nhiều so với dự đoán ban đầu.

Tại Việt Nam, với văn hóa sử dụng phần mềm mount đĩa ảo khá phổ biến trong cộng đồng game thủ và người dùng chuyên nghiệp, nguy cơ nhiễm độc từ cuộc tấn công này là hoàn toàn có thể xảy ra. Theo thống kê từ VNCERT, trong năm 2024, Việt Nam đã ghi nhận 15.000 cuộc tấn công mạng, trong đó supply-chain attack chiếm 3% nhưng gây thiệt hại lớn nhất do tính chất lan truyền rộng.

Hành động khẩn cấp để bảo vệ hệ thống

Nếu bạn đã tải và cài đặt Daemon Tools trong thời gian gần đây, hãy thực hiện ngay các bước sau: Đầu tiên, chạy full scan với antivirus mạnh như Malwarebytes hoặc ESET để phát hiện mã độc tiềm ẩn. Tiếp theo, kiểm tra Task Manager để tìm các tiến trình lạ đang chạy ngầm, đặc biệt chú ý những process có tên giống hệ thống nhưng tiêu tốn CPU cao bất thường. Cuối cùng, nếu phát hiện dấu hiệu nhiễm độc, hãy ngắt kết nối internet ngay lập tức và thực hiện gỡ cài đặt Daemon Tools hoàn toàn.

Chúng tôi khuyến cáo các doanh nghiệp Việt Nam cần xây dựng chính sách kiểm soát việc cài đặt phần mềm chặt chẽ hơn. Sử dụng Application Whitelisting để chỉ cho phép các phần mềm được phê duyệt chạy trên hệ thống. Đồng thời, triển khai EDR (Endpoint Detection and Response) để giám sát hành vi bất thường của các ứng dụng sau khi cài đặt. Cuộc tấn công này một lần nữa chứng minh rằng ngay cả website chính thức cũng không phải là pháo đài bất khả xâm phạm trong thời đại cyber security hiện tại.