Phần mềm độc hại mới PS1Bot tấn công qua PowerShell và Discord

Chiến dịch tấn công mới lợi dụng PowerShell và nền tảng Discord để phát tán mã độc PS1Bot – phần mềm nguy hiểm có thể đánh cắp dữ liệu, cài cửa hậu và điều khiển thiết bị từ xa.

Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công mới sử dụng phần mềm độc hại có tên PS1Bot, được viết bằng PowerShell và sử dụng Discord như một kênh điều khiển – phát tán mã độc, đánh cắp dữ liệu và kiểm soát hệ thống bị lây nhiễm.

PS1Bot cho thấy sự nguy hiểm bởi khả năng ẩn mình và tận dụng công cụ quen thuộc như PowerShell – vốn là công cụ hợp pháp trong hệ điều hành Windows – để tránh bị phát hiện. Đồng thời, việc sử dụng Discord như kênh C2 (command and control) giúp mã độc dễ dàng vượt qua nhiều hệ thống giám sát mạng truyền thống.

Cách thức hoạt động của PS1Bot

• Tin tặc phát tán mã độc thông qua tệp đính kèm hoặc đường link giả dạng tài liệu quen thuộc.

• Sau khi được thực thi, đoạn mã PowerShell kết nối với máy chủ Discord để nhận lệnh điều khiển.

• Các lệnh có thể bao gồm: thu thập thông tin hệ thống, tải tệp độc hại, chụp màn hình, đánh cắp mật khẩu hoặc cài backdoor.

Điểm đặc biệt của chiến dịch tấn công

• Không sử dụng máy chủ điều khiển truyền thống, mà lợi dụng nền tảng Discord – vốn được sử dụng phổ biến trong cộng đồng game thủ và người dùng cá nhân.

• Tận dụng môi trường hợp pháp như PowerShell, khiến phần mềm diệt virus khó phát hiện hành vi bất thường.

• Có khả năng lây lan nội bộ, từ thiết bị bị nhiễm sang các máy khác trong cùng mạng.

Nguy cơ bảo mật và hậu quả

• PS1Bot có thể tạo ra cửa hậu vĩnh viễn, cho phép kẻ tấn công quay lại kiểm soát hệ thống bất kỳ lúc nào.

• Tin tặc có thể ghi lại thao tác người dùng, đánh cắp tài khoản đăng nhập, thông tin tài chính hoặc dữ liệu nhạy cảm.

• Đối với doanh nghiệp, một máy bị lây nhiễm có thể mở cánh cửa cho toàn bộ mạng nội bộ bị tấn công.

Biện pháp phòng tránh PS1Bot và mã độc tương tự

1. Tắt hoặc hạn chế quyền sử dụng PowerShell đối với người dùng phổ thông
   Chỉ cho phép kỹ thuật viên hoặc quản trị viên sử dụng PowerShell nếu cần thiết.

2. Chặn kết nối ra ngoài của PowerShell
   Giới hạn việc PowerShell truy cập internet để ngăn việc gửi dữ liệu ra ngoài hoặc nhận lệnh điều khiển.

3. Giám sát lưu lượng mạng đến các nền tảng như Discord
   Trong môi trường doanh nghiệp, có thể chặn hoặc giới hạn truy cập các dịch vụ không liên quan đến công việc.

4. Đào tạo người dùng về rủi ro từ tệp đính kèm và liên kết đáng ngờ
   Không mở các tệp từ nguồn không rõ ràng hoặc thực thi script khi không hiểu rõ nội dung.

5. Cập nhật hệ điều hành và phần mềm diệt virus thường xuyên
   Các bản vá mới có thể giúp ngăn ngừa lỗ hổng bị lợi dụng trong các chiến dịch tương tự.

PS1Bot là minh chứng cho sự kết hợp nguy hiểm giữa công cụ hợp pháp và nền tảng phổ biến để thực hiện mục tiêu tấn công mạng. Để bảo vệ dữ liệu cá nhân và hệ thống doanh nghiệp, người dùng cần luôn duy trì cảnh giác và triển khai các biện pháp bảo mật chủ động.

Hương - Theo TheHackerNews