Tìm hiểu về fileless malware Voldemort

Huyền thoại về He-Who-Shall-Not-Be-Named có thể chỉ đúng trong truyện Harry Potter, nhưng ảnh hưởng của hắn đã lan ra thế giới thực. Không phải với vai trò một phù thủy mà dưới dạng một phần mềm độc hại nguy hiểm.

Nhưng fileless malware Voldemort là gì và làm thế nào để bạn có thể giữ an toàn?

Fileless malware là gì?

Điều khiến phần mềm độc hại Voldemort trở nên nguy hiểm là cách thức hoạt động của nó. Nó được phân loại là fileless malware, nghĩa là nó không tải xuống bất kỳ file bổ sung nào sau khi được kích hoạt. Thay vào đó, phần mềm độc hại được load trực tiếp vào bộ nhớ của máy tính. Từ đó, nó có thể chạy ngay lập tức mà không cần nhập dữ liệu, khiến ứng dụng diệt virus khó có thể phát hiện ra nó.

Phần mềm độc hại Voldemort hoạt động như thế nào?

Theo Proofpoint đưa tin, một cuộc tấn công Voldemort bắt đầu bằng một email lừa đảo được gửi đến các doanh nghiệp. Email này mạo danh cơ quan thuế của quốc gia người nhận và nêu rằng đã có sự thay đổi trong cách nộp thuế. Nạn nhân được yêu cầu nhấp vào liên kết để tìm hiểu thêm.

Sau khi nhấp vào liên kết, trang web sẽ kiểm tra xem nạn nhân có đang chạy Windows hay không. Nếu có, trang web sẽ tải xuống file LNK vào PC và ngụy trang thành PDF. Bản thân file LNK không độc hại, nhưng chúng có thể được lập trình để yêu cầu PowerShell thực hiện hoạt động độc hại.

LNK cụ thể này được thiết lập để chạy fileless malware thu thập dữ liệu từ máy tính mục tiêu. Sau đó, thông tin được gửi đến Google Sheets để tin tặc sử dụng theo ý muốn.

Cách giữ an toàn khỏi phần mềm độc hại Voldemort

May mắn thay, việc giữ an toàn khỏi Voldemort khá đơn giản. Bạn có thể chỉ gặp phải nó nếu bạn đang kinh doanh và đang xử lý email của công ty.

Nếu bạn nhận được email từ một người tự xưng là từ cơ quan thuế của quốc gia bạn, hãy thực hiện mọi cách để phát hiện email lừa đảo trước khi nhấp vào bất kỳ thứ gì.

Nếu vô tình tải xuống file PDF giả, bạn vẫn có thể xóa file đó mà không cần khởi chạy phần mềm độc hại. Bạn có thể biết đó có phải là file PDF giả hay không nhờ "mũi tên" nhỏ ở góc dưới bên trái của biểu tượng. File PDF thông thường không có mũi tên đó vì chúng không phải là shortuct, mà là file thật. Mặt khác, file LNK ẩn được tính là shortcut và có mũi tên nhỏ.

Nếu vô tình chạy file PDF giả, bạn có thể thử chạy quét phần mềm độc hại để xem phần mềm diệt virus của bạn có phát hiện ra điều gì không. Tuy nhiên, fileless malware được thiết kế để có thể lẩn tránh hết mức có thể, vì vậy, cách tốt nhất là bạn nên cài đặt lại hệ điều hành để xóa bỏ phần mềm độc hại.

Phần mềm độc hại Voldemort có thể không mạnh bằng một chúa tể bóng tối ma thuật, nhưng nó vẫn khá nguy hiểm. May mắn thay, nếu giữ được sự tỉnh táo, bạn có thể tránh được nó.