Bảo vệ máy tính khỏi mã độc Macro

15:15 | 15/12/2015

Thời gian vừa qua, mã độc MacroBARTALEX ẩn trong thư rác đính kèm tập tin Excel và Microsoft Word đã tấn công hàng loạt doanh nghiệp. Qua theo dõi một lượng lớn thư rác chứa đầy mã độc dạng macro tại khu vực châu Âu, các chuyên gia Trend Micro cho biết, loại mã độc này đang phục hồi mạnh mẽ, tốc độ lây lan nhanh và sự đa dạng về chủng loại biến thể.

Macro là gì? 

Macro là tập hợp các lệnh hoặc mã giúp tự động hóa các nhiệm vụ nhất định, nhưng gần đây những kẻ xấu một lần nữa lợi dụng triệt để công cụ này để tự động hóa các nhiệm vụ chứa mã độc.

Về cơ bản, để tiếp cận người dùng, những cuộc tấn công sử dụng mã độc macro thường khởi đầu với tin nhắn hay email rác có chủ đề thu hút sự chú ý của người nhận, chủ yếu liên quan đến tài chính. Trong những trường hợp mã độc được phát hiện ở châu Âu, nội dung tin nhắn hay email (gọi chung là thư rác) thường xoay quanh nội dung về thông báo chuyển tiền hay hóa đơn.

Khi những thư rác này được mở, sẽ có hai kết quả xảy ra và phụ thuộc vào các tập tin đính kèm.


Mã độc macro lây lan qua tài liệu MS Word hay Excel.

Người dùng có thể mở các tập tin đính kèm và xem hướng dẫn cách kích hoạt macro. Các thiết lập bảo mật mặc định trong Microsoft Word sẽ vô hiệu hóa các macro vì chúng có khả năng bảo vệ người dùng trước những âm mưu xâm nhập.

Việc kích hoạt macro sẽ trợ giúp hoạt động của một macro độc hại được mã hóa trong các tập tin Word. Macro này kết nối vào một liên kết URL cụ thể để tải về một VBScript độc hại với khả năng tải về máy dữ liệu “payload” cuối cùng.

Đối với trường hợp này, sẽ không có gì nguy hiểm xảy đến với máy tính người nhận. Đây là một ví dụ về tập tin có phần mở rộng .doc được mã hóa theo chuẩn Base64 đính kèm trong email. Lỗi mã hóa trong quá trình gửi email đến các mục tiêu có thể dẫn đến loại tập tin này.

Dữ liệu payload cuối cùng là gì? 

Khi những thư rác được mở, biến thể DRIDEX là dữ liệu payload cuối cùng. DRIDEX - một mã độc với khả năng lấy cắp thông tin cá nhân khi giao dịch ngân hàng trực tuyến thông qua việc thâm nhập HTML (HyperTextMarkupLanguage - ngôn ngữ đánh dấu siêu văn bản).

DRIDEX trực tiếp kế thừa mã độc ngân hàng trực tuyến CRIDEX với những phương thức tấn công nguy hại hơn và kỹ thuật mới giúp tránh bị phát hiện. Khi được cài đặt và hoạt động trên một hệ thống bị tấn công, các biến thể DRIDEX có khả năng chụp ảnh màn hình trình duyệt; cố gắng lấy mẫu (form); kích nhanh; tấn công vào trang con. Mục tiêu của chúng là những tổ chức tài chính ở châu Âu và thực tế mã độc thư rác này đang ảnh hưởng đến người dùng tại khu vực này.

Điều gì khiến bạn phải quan tâm tới macro? 

Bản thân macro không gây hại cho người dùng, macro về cơ bản là tự động hóa những nhiệm vụ thường xuyên tiến hành. Vấn đề cần quan tâm chính là khi tội phạm mạng lợi dụng các chức năng của mã macro để tiến hành những phương thức tấn công của chúng.

Người dùng có thói quen sử dụng macro là đích ngắm của mã độc loại này. Nhóm người sử dụng này khi nhận được tài liệu có mã macro sẽ không ngần ngại kích hoạt tính năng macro hoặc thiết lập lệnh “Cho phép bật tất cả Macro”, điều này phổ biến trong một số môi trường làm việc thường trao đổi tập tin chứa macro.

Mã độc macro cũng gây ra những rủi ro nghiêm trọng đối với người dùng không thành thạo về macro trong bộ phần mềm Microsoft Office. Do không có được sự hiểu biết về những rủi ro tiềm tàng và tò mò để mở tập tin, người dùng có thể bỏ qua các cảnh báo bảo mật và cho phép bật macro để xem tài liệu vì tập tin có thể chứa các mục hấp dẫn thu hút họ để mở chúng.

Ngoài những tin nhắn hấp dẫn, một phần của chiến thuật “Socialengineering” (tấn công xã hội) là những hướng dẫn kích hoạt macro kết hợp với những tập tin hợp pháp như Excel và Word, thường được sử dụng trong hoạt động của các doanh nghiệp. Nhân viên rất dễ bị đánh lừa rằng đây thực sự là một tập tin bình thường, hợp pháp và vô tình kích hoạt mã độc macro.

Ai sẽ bị ảnh hưởng bởi thư rác này? 

Theo số liệu của Trend Micro, châu Âu, Trung Đông và châu Phi là khu vực bị ảnh hưởng nặng nề nhất, chiếm 92,5% trong số các máy tính bị thâm nhập. Về các quốc gia bị ảnh hưởng, hầu hết hoạt động tấn công xảy ra ở Pháp (84,2%), theo sau là Nhật Bản (2,6%) và Ý (2,2%).

Ba ngành bị ảnh hưởng nhiều nhất là chính phủ, y tế và giáo dục. Nếu chiến thuật Socialengineering thu hút người dùng dưới dạng thông báo hoá đơn và chuyển tiền, nhân viên trong những ngành công nghiệp này sẽ mở các email và tập tin đính kèm vì nghĩ chúng liên quan đến công việc.

Những ảnh hưởng của các mối đe dọa này lên doanh nghiệp? 

Không những phát tán mã độc và nguy cơ mất cắp thông tin, năng suất của các doanh nghiệp cũng bị ảnh hưởng bởi số lượng lớn thư rác có chứa mã độc macro. Hoạt động kinh doanh có thể bị gián đoạn vì chúng gây phiền cho nhân viên và bộ phận IT. Đặc biệt, các mẫu mã hóa theo chuẩn Base64 hiển thị những ký tự ASCII trong tập tin .doc đính kèm.

Người dùng nên làm gì để ngăn chặn các mối đe dọa đến máy tính của mình? 

Macro vốn dĩ không độc hại, nhưng các chuyên gia bảo mật khuyên người dùng nên kích hoạt tính năng bảo mật macro của Microsoft Word và hãy cảnh giác với bất kỳ tài liệu hướng dẫn vô hiệu hóa các tính năng bảo mật macro. Nên tiến hành những bước bảo mật phức tạp hơn cho máy tính của mình.

Vì mã độc macro thường được gửi qua email nên thiết lập bảo mật cho email là một điều cần thiết. Trước khi mở email, nên kiểm tra thật kỹ thông tin người gửi, không nên mở email từ người lạ hoặc thư rác quảng cáo dù nội dung có vẻ quan trọng. Hãy mở tập tin đính kèm khi chúng được xác nhận.