Gần đây, một lỗ hổng trong phần mềm đọc PDF phổ biến Foxit Reader đã bị các đối tượng tấn công khai thác để thực hiện các cuộc tấn công phishing. Bằng cách lợi dụng thiết kế mặc định của phần mềm này và tâm lý, thói quen của người dùng, các hacker đã tạo ra những tệp PDF chứa mã độc, lừa người dùng nhấn vào các thông báo bảo mật giả mạo. Kết quả là, phần mềm độc hại được tải về và cài đặt trên máy tính của nạn nhân mà họ không hề hay biết. Hãy cùng tìm hiểu chi tiết về cách thức tấn công này và những biện pháp phòng tránh để bảo vệ bản thân trước nguy cơ bị xâm nhập.
Để hiểu rõ hơn về mức độ nguy hiểm của lỗ hổng trong Foxit PDF Reader, chúng ta hãy xem xét chi tiết về quy trình tấn công mà kẻ tấn công đã sử dụng. Quy trình này bao gồm nhiều bước, từ việc tạo tài liệu PDF độc hại đến việc thực thi các lệnh nguy hiểm trên máy tính của nạn nhân.
Về cơ bản, cuộc tấn công này thường diễn ra theo quy trình gồm 5 bước sau:
1. Người dùng mở tài liệu PDF bằng Foxit Reader:
Người dùng nhận được một tài liệu PDF qua email hoặc tải xuống từ một nguồn nào đó. Họ mở tài liệu này bằng phần mềm Foxit PDF Reader. Do Foxit PDF Reader có lỗ hổng bảo mật, khi người dùng mở tài liệu, một cửa sổ cảnh báo sẽ xuất hiện với lựa chọn mặc định là “OK”.
Thông báo được đặt sẵn tùy chọn “OK” là lựa chọn mặc định, tạo cảm giác rằng nhấn “OK” là hành động an toàn và cần thiết để tiếp tục. Người dùng có thể dễ dàng nhấn “OK” mà không đọc kỹ nội dung cảnh báo, do mặc định tin tưởng vào thông báo bảo mật từ phần mềm.
2. Thực thi lệnh dòng lệnh:
Sau khi người dùng nhấp vào “OK”, một cửa sổ cảnh báo thứ hai xuất hiện, thông báo rằng tài liệu sẽ thực thi một số lệnh bổ sung, với lựa chọn mặc định là “Open”. Thông báo này cảnh báo rằng tệp đang chuẩn bị thực thi các lệnh bổ sung, với lựa chọn “Open” được đặt sẵn là mặc định. Nó tạo cảm giác rằng nhấn “Open” là bước tiếp theo tự nhiên và an toàn. Một lần nữa, người dùng có thể không nhận ra nguy cơ và tiếp tục nhấn “Open”, dẫn đến việc phần mềm độc hại được tải về và thực thi trên máy tính của họ. Khi người dùng nhấp vào “Open”, Foxit PDF Reader sẽ thực thi một số lệnh dòng lệnh được nhúng trong tài liệu PDF.
3. Tải xuống phần mềm độc hại từ bên ngoài:
Các lệnh dòng lệnh này sẽ tải xuống phần mềm độc hại từ một máy chủ bên ngoài. Máy chủ này có thể là một CDN (mạng phân phối nội dung) của Discord hoặc một trang web hợp pháp khác bị lợi dụng.
4. Thực thi phần mềm độc hại:
Sau khi phần mềm độc hại được tải xuống, nó sẽ tự động thực thi trên máy tính của người dùng. Phần mềm độc hại này có thể thực hiện nhiều hành động khác nhau, bao gồm đánh cắp thông tin đăng nhập, mật khẩu, cookie từ trình duyệt, và thu thập các tài liệu, hình ảnh, và tệp lưu trữ khác.
5. Gửi dữ liệu về máy chủ điều khiển (C2):
Dữ liệu thu thập được sẽ được gửi về máy chủ điều khiển (C2) của kẻ tấn công. Máy chủ này sẽ lưu trữ các thông tin bị đánh cắp để kẻ tấn công có thể sử dụng sau này.
BIỆN PHÁP PHÒNG NGỪA:
SUY NGHĨ THẬT KỸ TRƯỚC NHỮNG CÚ CLICK CHUỘT …
Để bảo vệ bản thân trước các cuộc tấn công khai thác lỗ hổng trong Foxit Reader, người dùng cần tuân thủ các biện pháp phòng ngừa sau. Những biện pháp này sẽ giúp giảm thiểu rủi ro và bảo vệ an toàn cho dữ liệu cá nhân cũng như thiết bị của bạn. Dưới đây là những cách hiệu quả để ngăn chặn và đối phó với các mối đe dọa bảo mật:
- Thường xuyên cập nhập phần mềm
- Kiểm tra và cập nhật phiên bản mới nhất của Foxit PDF Reader cũng như các phần mềm khác thường xuyên.
2. Kiểm tra tệp tin trên Virustotal
- Mở trình duyệt web truy cập vào địa chỉ “https://www.virustotal.com/”
- Sau khi truy cập, tại trang chủ VirusTotal, bạn sẽ thấy một khu vực để tải tệp lên với nút “Choose file”.
- Nhấp vào nút “Choose file” để mở cửa sổ chọn tệp tin từ máy tính của bạn.
- Chọn tệp PDF mà bạn muốn kiểm tra và nhấp “Open”.
- Sau khi quá trình quét hoàn tất, VirusTotal sẽ hiển thị kết quả từ nhiều công cụ bảo mật khác nhau trên một trang kết quả. Mỗi công cụ sẽ cung cấp một kết quả cho biết tệp tin có bị nhiễm mã độc hay không. Các kết quả thường được biểu thị bằng màu xanh lá cây (an toàn) hoặc màu đỏ (nguy hiểm).
- Nếu hầu hết các công cụ đều báo cáo rằng tệp tin an toàn (màu xanh lá cây), bạn có thể yên tâm hơn khi mở tệp tin đó. Nếu bất kỳ công cụ nào báo cáo rằng tệp tin có mã độc (màu đỏ), không mở tệp tin đó và xem xét các biện pháp xử lý khác như xóa tệp tin hoặc liên hệ với ban ANTT.
3. Luôn kiểm tra nguồn gốc tài liệu:
- Chỉ mở các tệp PDF từ các nguồn tin cậy. Nếu nhận được tài liệu từ một nguồn không rõ, hãy xác minh tính hợp lệ của tài liệu trước khi mở. Tài liệu từ nguồn không rõ ràng có thể chứa phần mềm độc hại.
4. Luôn đọc kỹ các cảnh báo bảo mật
- Khi mở tài liệu PDF và gặp các cảnh báo bảo mật, hãy đọc kỹ nội dung trước khi nhấp vào “OK” hoặc “Open”. Đừng nhấp vào các tùy chọn mặc định một cách vô thức, vì chúng có thể kích hoạt các lệnh độc hại.
5. Sử dụng các phần mềm anti-virus
- Cài đặt và duy trì phần mềm diệt virus trên máy tính của bạn. Thực hiện quét hệ thống thường xuyên để phát hiện và loại bỏ các mối đe dọa tiềm ẩn.
6. Nâng cao nhận thức về bảo mật
- Thường xuyên nâng cao nhận thức về bảo mật cho bản thân và những người xung quanh.
- Theo dõi các bài viết, chia sẻ về an toàn thông tin
Lỗ hổng bảo mật trong Foxit Reader đã trở thành một công cụ lợi dụng của các hacker để thực hiện các cuộc tấn công phishing phức tạp và nguy hiểm. Quy trình tấn công này khai thác thói quen và tâm lý của người dùng, dẫn đến việc phần mềm độc hại được tải về và cài đặt trên máy tính của họ mà không hề hay biết. Để bảo vệ bản thân trước nguy cơ bị xâm nhập, người dùng cần thực hiện các biện pháp phòng ngừa như thường xuyên cập nhật phần mềm, kiểm tra tệp tin trên VirusTotal, kiểm tra nguồn gốc tài liệu, đọc kỹ các cảnh báo bảo mật, sử dụng phần mềm anti-virus và nâng cao nhận thức về bảo mật. Việc hiểu rõ quy trình tấn công và các biện pháp phòng ngừa không chỉ giúp bạn bảo vệ thiết bị của mình mà còn đóng vai trò quan trọng trong việc duy trì an ninh mạng tổng thể. Hãy luôn cảnh giác và cập nhật kiến thức về bảo mật để tránh trở thành nạn nhân của các cuộc tấn công mạng.
—Tác giả: Ban ANTT —-
