Cảnh báo mã độc ẩn trong file ảnh, giả mạo Windows Update
07:00 30/11/2025
Thời gian gần đây, chuyên gia an ninh mạng phát hiện chiến dịch mã độc mang tên ClickFix sử dụng kỹ thuật steganography chèn mã độc vào các file ảnh thông thường để né tránh phần mềm diệt virus. Khi người dùng truy cập những trang web nhiễm, họ sẽ thấy một giao diện giống y hệt Windows Update, với thông báo “Đang thực hiện cập nhật…Vui lòng không tắt máy” để lừa người dùng.
Điểm nguy hiểm nằm ở chỗ kẻ tấn công không yêu cầu nạn nhân tải bất kỳ file .exe nào. Thay vào đó, chúng hướng dẫn người dùng sao chép một đoạn mã và dán vào hộp thoại Run (Windows + R). Một khi người dùng làm theo, lệnh mshta sẽ được kích hoạt để trích xuất và chạy mã độc ẩn trong hình ảnh. Cơ chế này giúp malware qua mặt các phần mềm diệt virus, vốn thường chỉ phát hiện tệp thực thi thông thường.
Khi đã xâm nhập thành công, mã độc sẽ tải xuống các dòng infostealer nguy hiểm như Rhadamanthys hoặc LummaC2. Những công cụ này có khả năng đánh cắp mật khẩu, tài khoản mạng xã hội, thông tin ngân hàng, ví tiền điện tử, lịch sử duyệt web, thậm chí cả hình ảnh và tài liệu cá nhân. Việc sử dụng hình ảnh để che giấu mã độc khiến việc phát hiện càng trở nên khó khăn, bởi file ảnh trông hoàn toàn vô hại và có thể qua mặt nhiều trình quét bảo mật.
Các chuyên gia khẳng định Microsoft không bao giờ yêu cầu người dùng thực hiện cập nhật Windows bằng cách nhập lệnh thủ công. Do đó, bất cứ trang web nào hiển thị thông báo cập nhật và yêu cầu copy–paste lệnh đều là dấu hiệu rõ ràng của mã độc. Người dùng cần tuyệt đối tránh tải hoặc mở tệp tin, đặc biệt là ảnh, từ nguồn không tin cậy, không làm theo bất kỳ hướng dẫn lạ nào từ trình duyệt; và phải luôn cập nhật hệ điều hành, phần mềm bảo mật chính thống.
Sự xuất hiện của mã độc ngụy trang dưới dạng cập nhật Windows cho thấy mức độ tinh vi ngày càng tăng của tội phạm mạng. Trong bối cảnh không gian mạng phức tạp, người dùng cần nâng cao cảnh giác, tránh để một cú click hoặc một dòng lệnh vô ý trở thành cánh cửa mở cho kẻ gian chiếm đoạt dữ liệu và tài sản.
Khi đã xâm nhập thành công, mã độc sẽ tải xuống các dòng infostealer nguy hiểm như Rhadamanthys hoặc LummaC2. Những công cụ này có khả năng đánh cắp mật khẩu, tài khoản mạng xã hội, thông tin ngân hàng, ví tiền điện tử, lịch sử duyệt web, thậm chí cả hình ảnh và tài liệu cá nhân. Việc sử dụng hình ảnh để che giấu mã độc khiến việc phát hiện càng trở nên khó khăn, bởi file ảnh trông hoàn toàn vô hại và có thể qua mặt nhiều trình quét bảo mật.
Các chuyên gia khẳng định Microsoft không bao giờ yêu cầu người dùng thực hiện cập nhật Windows bằng cách nhập lệnh thủ công. Do đó, bất cứ trang web nào hiển thị thông báo cập nhật và yêu cầu copy–paste lệnh đều là dấu hiệu rõ ràng của mã độc. Người dùng cần tuyệt đối tránh tải hoặc mở tệp tin, đặc biệt là ảnh, từ nguồn không tin cậy, không làm theo bất kỳ hướng dẫn lạ nào từ trình duyệt; và phải luôn cập nhật hệ điều hành, phần mềm bảo mật chính thống.
Sự xuất hiện của mã độc ngụy trang dưới dạng cập nhật Windows cho thấy mức độ tinh vi ngày càng tăng của tội phạm mạng. Trong bối cảnh không gian mạng phức tạp, người dùng cần nâng cao cảnh giác, tránh để một cú click hoặc một dòng lệnh vô ý trở thành cánh cửa mở cho kẻ gian chiếm đoạt dữ liệu và tài sản.
Thanh Huyền
Địa chỉ: Số 15A, đường Nguyễn Văn Cừ, phường An Bình, thành phố Cần Thơ.
Điện thoại: 0292.3821.974..
Thư điện tử: cantho@moj.gov.vn