Hà Tĩnh cảnh báo mã độc giả mạo ứng dụng Chính phủ và tệp lối tắt nguy hiểm
Hà Tĩnh cảnh báo mã độc giả mạo ứng dụng Chính phủ

Cảnh báo khẩn cấp từ Công an Hà Tĩnh về các chiến dịch tấn công mạng tinh vi

Ngày 3/4, Công an tỉnh Hà Tĩnh đã chính thức đăng tải thông tin hướng dẫn chi tiết về việc xử lý các lỗ hổng bảo mật nghiêm trọng đang đe dọa an ninh mạng trên địa bàn. Theo báo cáo từ lực lượng chức năng, trong tháng 3 vừa qua, không gian mạng đã chứng kiến sự gia tăng đáng kể của nhiều chiến dịch tấn công mạng có chủ đích cùng với việc phát hiện các lỗ hổng nguy hiểm trên các phần mềm ứng dụng phổ biến.

Hệ thống quản trị mã độc tập trung của tỉnh đã ghi nhận sự lây lan của một số loại mã độc cực kỳ nguy hiểm, gây ảnh hưởng trực tiếp đến hoạt động của các cơ quan, đơn vị tại Hà Tĩnh. Các loại virus và mã độc này có khả năng bị tin tặc lợi dụng để chiếm quyền điều khiển hệ thống, đánh cắp dữ liệu nhạy cảm và thực hiện mã hóa tống tiền (ransomware). Trước tình hình đó, Công an tỉnh đã nhanh chóng thông báo và cung cấp các giải pháp khắc phục nhằm ứng phó với nhiều nguy cơ tấn công mạng tiềm ẩn.

Mã độc giả mạo ứng dụng Chính phủ: Mối đe dọa chiếm quyền điện thoại từ xa

Một trong những hình thức tấn công được Công an Hà Tĩnh đặc biệt nhấn mạnh là mã độc chiếm quyền điều khiển điện thoại thông qua dịch vụ hỗ trợ tiếp cận (Accessibility Service), giả mạo các ứng dụng Chính phủ chính thống. Đây được đánh giá là hình thức lừa đảo nguy hiểm nhất hiện nay, khi đối tượng xấu dẫn dụ người dùng qua các nền tảng mạng xã hội như Zalo hoặc Facebook để cài đặt các tệp tin lạ có định dạng .APK.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Các tệp tin này thường ngụy trang dưới dạng ứng dụng VNelD, Tổng cục Thuế hoặc cổng dịch vụ công trực tuyến. Sau khi người dùng cài đặt, mã độc sẽ ngay lập tức yêu cầu quyền "Accessibility Service". Nếu chấp thuận, kẻ tấn công có thể chiếm toàn bộ quyền điều khiển điện thoại từ xa, tự động đọc mã OTP ngân hàng, theo dõi mọi thao tác bàn phím và âm thầm chuyển tiền từ tài khoản của nạn nhân mà không cần bất kỳ tương tác trực tiếp nào.

Để phòng tránh, Công an Hà Tĩnh khuyến cáo mạnh mẽ:

  • Tuyệt đối không cài đặt ứng dụng thông qua các đường link được gửi từ người lạ hoặc các tệp .APK rời rạc.
  • Người dùng thiết bị di động chỉ nên tải và cài đặt ứng dụng từ các kho ứng dụng chính thức như CH Play (Android) hoặc App Store (iOS).
  • Thường xuyên kiểm tra quyền ứng dụng bằng cách vào phần cài đặt, chọn mục "Hỗ trợ tiếp cận" và tắt tất cả các ứng dụng lạ đang sử dụng quyền này.

Trong trường hợp nghi ngờ thiết bị đã bị nhiễm mã độc, người dân cần ngay lập tức thực hiện các bước sau:

  1. Ngắt kết nối internet (bao gồm cả Wifi và 4G).
  2. Thực hiện khôi phục cài đặt gốc của điện thoại (Factory Reset).
  3. Đổi mật khẩu cho các tài khoản quan trọng như ngân hàng, Zalo, Facebook trên một thiết bị sạch khác.

Mã độc Trojan.WinLNK.Runner.ip: Nguy cơ từ tệp lối tắt giả mạo

Bên cạnh đó, Công an tỉnh cũng chỉ ra một loại mã độc nguy hiểm khác là Trojan.WinLNK.Runner.ip, chuyên chiếm quyền điều khiển thông qua các tệp lối tắt giả mạo. Đây là biến thể mới nhất của dòng Trojan.WinLNK.Runner, lợi dụng các tệp lối tắt (.LNK) để đánh lừa người dùng.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Mã độc này thường ngụy trang tinh vi dưới dạng các tài liệu PDF, thư mục ảnh hoặc tệp nén được gửi qua email hoặc USB. Khi người dùng nhấp vào, thay vì mở tài liệu như mong đợi, nó sẽ âm thầm thực thi các lệnh ẩn thông qua PowerShell hoặc CMD để kết nối với máy chủ điều khiển từ xa (C&C). Từ đây, các loại mã độc nguy hiểm khác như backdoor hoặc mã độc đánh cắp thông tin tài chính sẽ được tải xuống và cài đặt. Kỹ thuật này giúp tin tặc dễ dàng vượt qua các hàng rào phòng thủ của phần mềm diệt virus truyền thống.

Đáng chú ý, mã độc này đang lây nhiễm mạnh mẽ, điển hình là tại Trung tâm Văn hóa Truyền thông Đức Thọ với gần 2.300 cảnh báo lây nhiễm được ghi nhận, buộc đơn vị này phải có biện pháp xử lý và khắc phục khẩn cấp.

Để phòng chống mã độc Trojan.WinLNK.Runner.ip, Công an Hà Tĩnh đưa ra các khuyến nghị cụ thể:

  • Người dùng cá nhân nên bật tính năng hiển thị đuôi tệp tin (File name extensions) trong File Explorer để dễ dàng nhận diện các tệp có đuôi lạ như .Ink.
  • Luôn cảnh giác cao độ với các tệp tin nhận được từ nguồn không xác định qua email hoặc USB.
  • Đối với quản trị viên hệ thống, cần cấu hình chính sách nhóm (GPO) để hạn chế hoặc giám sát chặt chẽ việc thực thi PowerShell/CMD từ các tiến trình không rõ nguồn gốc.
  • Duy trì việc bật và cập nhật thường xuyên phần mềm diệt virus Smart IR để tăng cường khả năng phòng thủ.

Thông qua các cảnh báo và hướng dẫn chi tiết này, Công an tỉnh Hà Tĩnh kỳ vọng sẽ nâng cao nhận thức và khả năng phòng vệ của người dân cũng như các tổ chức trước các mối đe dọa an ninh mạng ngày càng tinh vi và phức tạp.