Tin tặc ẩn phần mềm độc hại trong các tệp liên kết, nhưng Microsoft từ chối sửa lỗi

Tin tặc đến từ các nước như Triều Tiên, Iran, Nga và Trung Quốc đang tạo ra các liên kết độc hại xâm phạm vào các cơ quan chính phủ, quân đội và các tổ chức quan trọng khác, dẫn đến hoạt động gián điệp và đánh cắp dữ liệu nở rộ. Tuy nhiên, Microsoft đã từ chối giải quyết lỗ hổng này bằng bản vá bảo mật, Trend Micro cho biết trong một báo cáo.

Các tệp liên kết (LNK) của Microsoft thất bại trong việc cung cấp cho người dùng thông tin quan trọng và các tác nhân độc hại khai thác lỗ hổng này để nhúng các gói độc hại vào đó.

Các tệp LNK được cho là cung cấp quyền truy cập nhanh vào các tệp, ứng dụng hoặc thư mục trên máy tính. Tuy nhiên, nhóm săn tìm mối đe dọa của  công ty ZDI đã xác định được gần 1.000 tệp .lnk độc hại và ước tính lỗ hổng mà tin tặc khai thác còn cao hơn nhiều.

ZDI giải thích, lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các bản cài đặt Microsoft Windows bị ảnh hưởng.

Về phía nạn nhân, tệp độc hại có thể trông giống như một liên kết đơn giản đến một tài liệu văn bản hoặc bất kỳ biểu tượng nào khác được thiết kế để gây nhầm lẫn và dụ nạn nhân.

Một trong những tệp liên kết được phân tích đạt kích thước tệp tối đa là 55,16 megabyte, lớn hơn nhiều gói phần mềm độc hại phổ biến.

Gần 70% các tệp .lnk độc hại được phân tích chủ yếu tập trung vào hoạt động gián điệp và đánh cắp thông tin, trong khi hơn 20% hướng đến mục đích đạt được lợi ích tài chính. Nhiều nhóm tin tặc đã chứng minh được mức độ tinh vi cao trong chuỗi tấn công của họ và có tiền sử lợi dụng lỗ hổng zero-day trong tự nhiên.

Microsoft từ chối vá lỗ hổng ngay lập tức

ZDI đã báo cáo lỗ hổng được theo dõi là ZDI-CAN-25373 cho Microsoft vào ngày 20/9/2024. Hãng công nghệ này đã thừa nhận báo cáo và một tuần sau đó đánh giá trường hợp này là “không đáp ứng được yêu cầu phục vụ”. Microsoft đã phân loại đây là mức độ nghiêm trọng thấp và sẽ không vá chúng trong tương lai gần.

Theo ZDI, hạn chế tương tác với ứng dụng hiện là cách duy nhất để giảm thiểu lỗ hổng. Các nhà nghiên cứu khuyến cáo nên cảnh giác với các tệp .lnk nói chung và sử dụng các biện pháp bảo vệ điểm cuối cũng như mạng để phát hiện và ứng phó với mối đe dọa này. Trong các chiến dịch tấn công sử dụng tệp .lnk, tác nhân đe dọa thường sẽ thay đổi biểu tượng để gây nhầm lẫn và dụ nạn nhân thực hiện phím tắt.

Tin tặc thường sẽ thêm phần mở rộng "giả mạo" như .pdf.lnk cùng với biểu tượng phù hợp để lừa người dùng thêm. Windows ẩn phần '.lnk', do đó tài liệu có thể xuất hiện dưới dạng tệp PDF.

Nếu người dùng kiểm tra thuộc tính của tệp .lnk độc hại, Windows sẽ không thể hiển thị các đối số độc hại trong không gian giới hạn được phân bổ do chèn khoảng trắng hoặc các ký tự đặc biệt khác.

Microsoft đã xác nhận giới chuyên môn rằng họ đang xem xét giải quyết lỗi trong bản phát hành trong tương lai.

Các chuyên gia cũng lưu ý rằng, Microsoft Defender đã triển khai các tính năng phát hiện để phát hiện và chặn hoạt động đe dọa này và Smart App Control cung cấp thêm một lớp bảo vệ bằng cách chặn các tệp độc hại từ Internet.

Windows xác định các tệp lối tắt (.lnk) là loại tệp có khả năng gây nguy hiểm. Nếu người dùng cố gắng mở tệp .lnk được tải xuống từ Internet, họ sẽ nhận được cảnh báo bảo mật khuyên họ không nên mở tệp từ các nguồn không xác định. Điều đó hạn chế việc sử dụng thực tế phương pháp được mô tả cho những kẻ tấn công.

Mười một nhóm tin tặc đã khai thác lỗ hổng liên kết và các chiến dịch đầu tiên có từ năm 2017.

Evil Corp (hay còn gọi là Water Asena, I), một băng nhóm tội phạm mạng khét tiếng của Nga, đã phát triển nhiều mẫu tệp .lnk độc hại nhất, tiếp theo là tin tặc đến từ Triều Tiên tài trợ là Kimsuky và Earth Imp (Konni).

Các cuộc tấn công được theo dõi nhiều nhất nhắm vào các lĩnh vực chính phủ, hàng hải và tài chính, các nhóm nghiên cứu và viễn thông.

Trend Micro cảnh báo rằng lỗ hổng này gây ra những rủi ro đáng kể cho các tổ chức trên toàn thế giới và khiến họ phải đối mặt với những rủi ro đáng kể về trộm cắp dữ liệu và gián điệp mạng.