Bạn có bao giờ nghĩ rằng tin nhắn "thân thiện" từ Microsoft Teams có thể là cánh cửa dẫn hacker thẳng vào hệ thống máy tính của bạn? Nhóm tội phạm mạng UNC6692 vừa chứng minh điều này bằng cách triển khai thành công bộ malware hoàn toàn mới mang tên "Snow". Đây không chỉ là một phần mềm độc hại thông thường mà là cả một "bộ công cụ tấn công" tinh vi gồm ba thành phần: browser extension (phần mở rộng trình duyệt), tunneler (công cụ tạo đường hầm) và backdoor (cửa hậu). Điều đáng lo ngại nhất? Họ đã biến Microsoft Teams - nền tảng làm việc được tin cậy bởi hàng triệu người - thành vũ khí tấn công.

Khi Microsoft Teams trở thành "kẻ phản bội"

Phương thức tấn công của UNC6692 cho thấy sự tinh vi đáng sợ trong việc lợi dụng tâm lý con người. Thay vì dựa vào các email lạ hoặc trang web đáng ngờ, họ chọn Microsoft Teams - công cụ mà hàng triệu nhân viên văn phòng sử dụng hàng ngày để giao tiếp công việc. Các tin nhắn giả mạo được thiết kế cực kỳ tinh vi, mô phỏng hoàn hảo giao diện và ngôn ngữ chính thức của Microsoft. Nạn nhân sẽ nhận được thông báo về cập nhật bảo mật "khẩn cấp" hoặc yêu cầu xác minh tài khoản "để đảm bảo an toàn".

Chúng tôi cho rằng việc lựa chọn Microsoft Teams không hề ngẫu nhiên. Đây là nền tảng có tỷ lệ tin cậy cao, đặc biệt sau đại dịch COVID-19 khi làm việc từ xa trở nên phổ biến. Theo thống kê của Microsoft, Teams có hơn 280 triệu người dùng hoạt động hàng tháng trên toàn cầu. Tại Việt Nam, con số này ước tính khoảng 2-3 triệu người dùng, chủ yếu là nhân viên các công ty đa quốc gia và doanh nghiệp lớn. Điều này tạo ra "kho mục tiêu" khổng lồ cho các nhóm tội phạm mạng.

Giải mã "bộ ba" malware Snow

Malware Snow không phải là một chương trình đơn lẻ mà là cả một hệ sinh thái tấn công được thiết kế chu đáo. Browser extension là thành phần đầu tiên, hoạt động như một "gián điệp" ẩn mình trong trình duyệt. Nó có khả năng thu thập mọi thông tin người dùng nhập vào, từ mật khẩu, thông tin thẻ tín dụng cho đến dữ liệu đăng nhập các tài khoản quan trọng. Tunneler đóng vai trò như một "cầu nối bí mật", tạo ra kênh liên lạc mã hóa giữa máy tính bị nhiễm và server điều khiển của hacker, cho phép truyền tải dữ liệu mà không bị phát hiện.

Thành phần nguy hiểm nhất chính là backdoor - "cửa hậu" cho phép hacker truy cập từ xa vào toàn bộ hệ thống. Khác với các backdoor truyền thống chỉ tạo điểm truy cập đơn thuần, backdoor của Snow được tích hợp khả năng tự động hóa các tác vụ phức tạp. Nó có thể tự động thu thập file, chụp ảnh màn hình theo định kỳ, ghi âm cuộc họp và thậm chí là điều khiển webcam mà người dùng không hề hay biết. Theo phân tích của các chuyên gia bảo mật, đây là một trong những backdoor tinh vi nhất được phát hiện trong năm 2024.

Tác động "sóng thần" đối với doanh nghiệp Việt Nam

Con số thiệt hại từ malware Snow có thể lên tới hàng triệu USD cho một doanh nghiệp trung bình nếu bị tấn công thành công. Với khả năng đánh cắp thông tin đăng nhập, hacker có thể truy cập vào các hệ thống tài chính, cơ sở dữ liệu khách hàng và thông tin bí mật thương mại. Đặc biệt nghiêm trọng với các ngân hàng, công ty fintech và doanh nghiệp thương mại điện tử - những lĩnh vực đang bùng nổ tại Việt Nam. Theo báo cáo của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Việt Nam ghi nhận trung bình 3.000-4.000 cuộc tấn công mạng mỗi tháng, trong đó malware chiếm 35% tổng số vụ việc.

Điều đáng lo ngại hơn là khả năng lan truyền nhanh chóng trong môi trường doanh nghiệp. Một khi Snow xâm nhập thành công vào một máy tính trong mạng nội bộ, nó có thể tự động quét và lây nhiễm sang các thiết bị khác thông qua shared folders, email nội bộ và thậm chí là các cuộc họp Teams. Chúng tôi đánh giá đây là mối đe dọa cấp độ cao, đặc biệt với các doanh nghiệp Việt Nam vốn còn hạn chế về hệ thống bảo mật endpoint và đào tạo nhận thức an ninh mạng cho nhân viên.

"Vaccine" chống Snow - Hành động ngay hôm nay

Bước đầu tiên và quan trọng nhất là NGƯNG VÀ KIỂM TRA mọi tin nhắn Teams yêu cầu cập nhật phần mềm hoặc xác minh tài khoản, dù chúng trông có vẻ chính thức đến đâu. Microsoft không bao giờ yêu cầu người dùng tải xuống phần mềm thông qua tin nhắn Teams. Tiếp theo, kích hoạt tính năng Safe Links và Safe Attachments trong Microsoft 365 Defender nếu doanh nghiệp đang sử dụng gói Enterprise. Đối với cá nhân, hãy cài đặt phần mềm antivirus có khả năng quét real-time và cập nhật định kỳ definitions. Đặc biệt quan trọng là kiểm tra danh sách extensions trong trình duyệt hàng tuần, gỡ bỏ ngay lập tức bất kỳ phần mở rộng nào không nhận ra hoặc cài đặt gần đây mà không nhớ rõ nguồn gốc.

Để bảo vệ toàn diện, doanh nghiệp cần triển khai giải pháp EDR (Endpoint Detection and Response) có khả năng phát hiện hành vi bất thường và chặn các kết nối đáng ngờ. Đồng thời, tổ chức đào tạo nhận thức an ninh mạng cho toàn bộ nhân viên với trọng tâm là nhận biết social engineering qua các nền tảng làm việc. Theo khuyến nghị của chúng tôi, mỗi doanh nghiệp nên có ít nhất một chuyên gia bảo mật nội bộ hoặc hợp tác với đơn vị cung cấp dịch vụ SOC (Security Operations Center) để giám sát 24/7. Đầu tư vào bảo mật không phải là chi phí mà là khoản bảo hiểm cần thiết trong thời đại số.