Giới thiệu
Trong thời đại số hóa, các chiến dịch tấn công mạng ngày càng trở nên tinh vi và khó phát hiện. Mới đây, một chiến dịch mới đã được phát hiện, trong đó hacker sử dụng định dạng file lỗi thời “.pif” kết hợp với kỹ thuật vượt qua kiểm soát tài khoản người dùng (UAC) để cài đặt phần mềm gián điệp Remcos RAT vào máy tính nạn nhân
1.
Remcos RAT Là Gì?
Remcos (Remote Control & Surveillance Software) là một loại phần mềm gián điệp điều khiển từ xa, cho phép hacker theo dõi, kiểm soát và thu thập dữ liệu từ máy tính bị nhiễm. Đây là công cụ phổ biến trong các chiến dịch tấn công có chủ đích (APT) nhắm vào cá nhân và doanh nghiệp.
Quá Trình Tấn Công
1. Phishing Email Làm Mồi
Chiến dịch bắt đầu bằng một email giả mạo, thường đính kèm tệp nén (.zip/.rar) chứa file thực thi có tên như “FAKTURA.exe” – giả dạng hóa đơn hoặc tài liệu kinh doanh. Khi người dùng mở file, một trình tải mã độc trung gian có tên DBatLoader sẽ được kích hoạt
1.
2. Lợi Dụng File “.PIF” và Vượt Qua UAC
Sau khi DBatLoader hoạt động, nó tạo ra một file “.pif” – định dạng cũ dành cho ứng dụng DOS nhưng vẫn có thể thực thi trên Windows hiện đại. Hacker lợi dụng đặc điểm này để tránh bị phát hiện bởi phần mềm bảo mật.
Tiếp theo, mã độc tạo thư mục giả như C:\Windows (có khoảng trắng ở cuối) để khai thác lỗi xử lý đường dẫn của Windows, từ đó vượt qua UAC mà không cần sự cho phép của người dùng
2.
3. Né Tránh Sandbox Phân Tích
Để tránh bị phát hiện bởi hệ thống phân tích mã độc tự động (sandbox), mã độc sử dụng lệnh PING.EXE để tạo độ trễ giả tạo, khiến các hệ thống giám sát bỏ qua hành vi độc hại
2.
4. Duy Trì Sự Hiện Diện (Persistence)
Cuối cùng, hacker thiết lập một Scheduled Task (thường dưới dạng file .url) để tự động chạy lại file .pif mỗi khi máy tính khởi động, đảm bảo mã độc luôn hoạt động mà không cần tương tác thêm từ hacker
1.
Ai Là Đối Tượng Bị Nhắm Tới?
Chiến dịch này nhắm vào người dùng Windows trên toàn cầu, đặc biệt là nhân viên thường xuyên nhận email liên quan đến hóa đơn, tài liệu kinh doanh. Do tính chất tinh vi và ít phụ thuộc vào tương tác người dùng, đây là mối đe dọa nghiêm trọng đối với cả cá nhân và tổ chức.
Cách Phòng Tránh
- Không mở file đính kèm từ email lạ hoặc nghi ngờ.
- Cập nhật phần mềm bảo mật thường xuyên.
- Kích hoạt chế độ hiển thị phần mở rộng file để nhận diện file giả mạo.
- Giám sát các Scheduled Task bất thường trong hệ thống.
Kết Luận
Việc hacker lợi dụng file “.pif” và vượt qua UAC để cài Remcos RAT là minh chứng cho sự sáng tạo và nguy hiểm của các chiến dịch tấn công hiện đại. Người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo vệ để tránh trở thành nạn nhân.