Tin tặc đã phát triển nhiều thủ thuật để đưa payload (tải trọng) phần mềm độc hại của chúng lên hệ thống của mọi người. Trojan là một chương trình nhìn bề ngoài có vẻ như đang làm một việc gì đó có lợi, nhưng thực chất lại chứa đựng một điều đen tối.
Hiện nay, tin tặc phải lén lút hơn rất nhiều khi thực hiện các cuộc tấn công. Đôi khi chúng ẩn phần mềm độc hại trong một file nhìn có vẻ vô hại khác. Đây được gọi là kỹ thuật “steganography” (kỹ thuật giấu tin) và trường hợp đầu tiên được ghi nhận gần đây là các file WAV mang phần mềm độc hại.
Steganography là gì?
Steganography là một thuật ngữ bao quát bất cứ khi nào ai đó che giấu một dữ liệu trong nhiều dữ liệu khác. Đây không phải là một thuật ngữ phần mềm độc hại mới xuất hiện gần đây mà đã có từ khoảng năm 440 trước Công nguyên!
Steganography có một chút khác biệt với mã hóa. Với mã hóa, có phần Obfuscation mà người nhận phải làm sáng tỏ trước khi có thể đọc tin nhắn. Steganography không nhất thiết phải được mã hóa, mà chỉ ẩn trong một phần dữ liệu khác.
Các nhà phát triển phần mềm độc hại đã sử dụng kỹ thuật cổ xưa này để lén đưa file vượt qua lớp bảo mật của máy tính. Phần mềm diệt virus có xu hướng lỏng lẻo với các file không liên quan đến virus, do đó, những kẻ phát triển phần mềm độc hại đã lén đưa mã độc vào trong các file này.
Thông thường, file không được sử dụng để lây nhiễm sang hệ thống, vì khó chạy chương trình ẩn trong một file mà không có sự trợ giúp. Thay vào đó, nó thường được sử dụng bởi các virus đã lây nhiễm vào máy tính. Nó có thể tải xuống các file trông vô hại này để lấy hướng dẫn hoặc file thực thi mà không kích hoạt cảnh báo chống virus.
Trước đây, ta đã thấy virus ẩn trong hình ảnh, nhưng gần đây đã ghi nhận trường hợp đầu tiên sử dụng phương thức phân phối file WAV phổ biến.
WAV Steganography hoạt động như thế nào?
Phương pháp tấn công mới này đã được báo cáo 2 lần trong năm nay. Vào tháng 6, có báo cáo về cách một băng đảng người Nga mang tên Waterorms đã sử dụng Steganography dựa trên WAV để tấn công các quan chức trong chính phủ. Sau đó, một báo cáo khác được đưa ra vào đầu tháng này cho biết chiến lược này đã được sử dụng một lần nữa. Lần này, các file không nhằm vào những quan chức nữa mà được sử dụng bởi một loại tiền điện tử có tên Monero.
Trong các cuộc tấn công này, phần mềm độc hại sẽ tải xuống các file thực thi, file DDL và backdoor trong file WAV. Khi file được tải xuống, phần mềm độc hại sẽ “đào” qua dữ liệu để tìm file. Khi được tìm thấy, phần mềm độc hại sẽ thực thi mã.
Làm thế nào để phòng tránh các cuộc tấn công WAV Steganography?
Trước khi bắt đầu nghi ngờ bộ sưu tập album của mình, bạn nên nhớ rằng WAV Steganography được sử dụng bởi một phần mềm độc hại đã có sẵn. Nó không được sử dụng như một phương pháp lây nhiễm ban đầu mà là một cách để phần mềm độc hại hiện tại tiếp tục thiết lập chính nó trên một hệ thống. Như vậy, cách tốt nhất để tránh những cuộc tấn công lén lút này là ngăn chặn việc thâm nhập ban đầu xảy ra.
Điều này có nghĩa là phải tuân theo các quy tắc vàng của an ninh mạng: Cài đặt một phần mềm diệt virus tốt, không tải xuống các file đáng ngờ và giữ mọi thứ được cập nhật. Điều này là đủ để ngăn chặn phần mềm độc hại cryptomining (quy trình dùng nguồn lực hệ thống có sẵn để tìm tiền ảo) và mọi file âm thanh đáng ngờ được tải xuống máy tính!
Steganography không có gì mới, ngay cả trong thế giới an ninh mạng. Tuy nhiên, điều đáng chú ý là việc sử dụng các file WAV để lén đưa DDL và backdoor đến phần mềm độc hại. Bây giờ, bạn đã biết steganography là gì và làm thế nào virus sử dụng nó để lén đưa các file qua mặt một chương trình diệt virus.
Phương pháp mới này trong phần mềm độc hại có làm bạn lo lắng không? Hãy cho mọi người biết ý kiến trong phần bình luận dưới đây nhé!
