Tin tặc lợi dụng hình ảnh JPG để triển khai mã độc tống tiền

Một chiến dịch tấn công tinh vi mới sử dụng các kỹ thuật để ẩn mã độc trong các tệp ảnh JPG thông thường, phán tán mã độc tống tiền và có khả năng vượt qua các giải pháp bảo mật truyền thống. Kỹ thuật này được gọi là Stegomalware, thể hiện sự tiến hóa trong khả năng của kẻ tấn công nhằm vượt qua các cơ chế phát hiện mã độc.

Tấn công mã độc tống tiền qua nhiều giai đoạn bằng tệp JPG

Cuộc tấn công bắt đầu khi nạn nhân nhận được những hình ảnh JPG có vẻ vô hại thông qua email, mạng xã hội hoặc các trang web bị xâm nhập. Ẩn trong dữ liệu EXIF ​​của những hình ảnh này là mã PowerShell được tối giản hóa, được thiết kế để khởi tạo chuỗi tấn công.

Khi hình ảnh được mở, một thành phần thứ cấp, thường là một tệp tài liệu Office có chứa macro sẽ trích xuất và thực thi mã ẩn. Sau khi thực thi, tập lệnh PowerShell sẽ tải xuống tệp JPG chứa mã lệnh .NET được mã hóa Base64 ẩn giữa các dấu hiệu đặc biệt trong tệp ảnh. Sau đó, đoạn mã .NET này sẽ được kích hoạt để tải và chạy mã độc tống tiền. Cuối cùng, phần mềm độc hại này sẽ âm thầm mã hóa toàn bộ dữ liệu trên máy tính của nạn nhân mà không bị các chương trình bảo mật phát hiện.

Cuộc tấn công đặc biệt nguy hiểm vì sử dụng các kỹ thuật hoàn toàn không thể phát hiện (Fully UnDetectable - FUD). Tin tặc có sự am hiểu về cách mà các giải pháp bảo mật hoạt động và từ đó thiết kế ra các phương pháp ẩn mã độc để tránh bị phát hiện.

Các công ty bảo mật đang cập nhật thông tin về các loại mã độc tống tiền mới thường xuyên hơn bao giờ hết. Tuy nhiên, những kỹ thuật như FUD vẫn luôn vượt qua sự phát hiện của các chương trình bảo mật. Các tin tặc làm điều này bằng cách sử dụng các công cụ đặc biệt để mã hóa mã nguồn của chính mình. Việc mã hóa này giống như việc thay đổi cách nhận diện mã độc, khiến cho mỗi phiên bản của nó trở nên độc nhất và không giống với bất kỳ mẫu mã độc nào đã được biết đến trong cơ sở dữ liệu của các chương trình chống mã độc trước đây.

Kỹ thuật giấu tin (steganographic) giúp kẻ tấn công có thêm một lớp bảo vệ nữa. Thay vì giấu mã độc trong phần thông tin phụ của tệp ảnh, chúng nhúng trực tiếp mã độc vào bên trong dữ liệu hình ảnh (các điểm ảnh - pixel). Điều này khiến cho mã độc gần như không thể bị phát hiện bởi các công cụ bảo mật thông thường.

Trong một chiến dịch gần đây được ghi nhận vào tháng 3/2025, các nhà nghiên cứu đã xác định những kẻ tấn công sử dụng kỹ thuật này để phân phối nhiều loại phần mềm độc hại RAT (Trojan truy cập từ xa), bao gồm: LimeRAT, AgentTesla và Remcos.

Cách mà các cuộc tấn công thường bắt đầu là thông qua các email rác (spam) có kèm theo hình ảnh. Khi người dùng tải hình ảnh này xuống, một đoạn mã lệnh PowerShell được giấu kín bên trong sẽ tự động chạy. Đoạn mã này sẽ giải mã và kích hoạt mã độc đã được ẩn, đồng thời bí mật thiết lập một đường dây liên lạc với máy chủ điều khiển của kẻ tấn công. Sau khi kết nối được thiết lập, ransomware sẽ được tải xuống và bắt đầu hoạt động.

Biện pháp bảo vệ

Các chuyên gia bảo mật đưa ra một số khuyến nghị để người dùng bảo vệ trước các cuộc tấn công này:

- Triển khai các giải pháp bộ lọc email tiên tiến có khả năng phân tích các thành phần hình ảnh nhúng.

- Vô hiệu hóa chức năng tự động thực thi macro trong tài liệu Office.

- Duy trì sao lưu dữ liệu quan trọng và lưu trữ bản sao này ở một nơi tách biệt hoàn toàn với hệ thống chính (ví dụ: ổ cứng ngoài, USB hoặc dịch vụ lưu trữ đám mây,…)

- Triển khai các giải pháp bảo mật có khả năng phân tích hành vi thay vì chỉ phát hiện dựa trên chữ ký.

- Thận trọng khi tải những hình ảnh từ các nguồn không đáng tin cậy.

Tin tặc sẽ không ngừng cải tiến các kỹ thuật tấn công, các cá nhân, tổ chức phải luôn cảnh giác trước những mối đe dọa ngày càng tinh vi này.