Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã phát hiện lỗ hổng an toàn thông tin trên một phần mềm đọc file văn bản PDF mang tên Foxit PDF Reader.
Theo Cục An toàn thông tin, kẻ xấu đã lợi dụng lỗ hổng này để phát tán file PDF có chứa mã độc lên Facebook, Discord hay các nền tảng mạng xã hội khác để đánh cắp thông tin người dùng. Đại diện Cục An toàn thông tin cho biết, hình thức tấn công mã độc này không mới nhưng khá khó để phòng tránh, vì vậy, các doanh nghiệp cần chủ động xây dựng biện pháp phòng ngừa, ví dụ như sao lưu dữ liệu.
“Các cơ quan có tài sản dữ liệu lớn như viễn thông, tài chính dễ bị tấn công. Quan trọng là ngoài việc giám sát thường xuyên, kiểm tra đánh giá săn lùng lỗ hổng thì phải có giải pháp sao lưu dữ liệu liên quan đến hệ thống để hệ thống bị mã hóa thì có thể khôi phục nhanh” – ông Trần Nguyên Chung, Trưởng phòng An toàn hệ thống thông tin, Cục An toàn thông tin, Bộ Thông tin và Truyền thông, nhấn mạnh.
Báo cáo của Công ty An ninh mạng Viettel chỉ ra rằng, có ít nhất 9 vụ tấn công ransomware nhắm đến các công ty, tổ chức lớn tại Việt Nam trong thời gian qua. Những cuộc tấn công này đã mã hóa hàng trăm GB dữ liệu. Tổng số tiền hacker đòi để chuộc dữ liệu ước tính khoảng 3 triệu USD.
Khai thác lỗ hổng bảo mật
Với lỗ hổng được xác định, một vectơ tấn công tiềm năng liên quan đến một cuộc tấn công lừa đảo sử dụng tệp PDF làm trình tải để thực thi tải trọng đính kèm ẩn. Trong trường hợp này, tác nhân đe dọa gửi tệp ZIP chứa tệp PDF và tệp thực thi ẩn cho nạn nhân, nhằm đánh lừa họ mở tài liệu. CVE trong Foxit Reader sau đó cho phép mã JavaScript nhúng chạy tệp thực thi ẩn, thiết lập kết nối reverse shell với máy của kẻ tấn công.Để tiêm mã JavaScript vào tệp PDF, kẻ tấn công có thể trực tiếp sửa đổi tệp nội dung PDF hoặc sử dụng các công cụ như Foxit Phantom PDF. Mã độc xác định đường dẫn tệp độc hại và thực thi mã độc hại bằng chức năng opencPDFWebPage.
Sau khi chuẩn bị các tệp PDF độc hại, kẻ tấn công ẩn tệp thực thi và nén thư mục thành tệp ZIP. Để trốn tránh các biện pháp bảo vệ bảo mật chương trình chống vi-rút, kẻ tấn công có thể mã hóa tệp ZIP bằng mật khẩu trước khi gửi cho nạn nhân.
Nếu nạn nhân trích xuất và mở file PDF độc hại bằng phiên bản Foxit Reader dễ bị tấn công, mã độc nhúng trong file thực thi sẽ được thực thi, tạo điều kiện cho kẻ tấn công xâm phạm thiết bị của nạn nhân thông qua reverse shell.
