Theo thông tin từ TechRadar, các chuyên gia an ninh mạng đã phát hiện một thủ đoạn lừa đảo tinh vi mới. Một loại phần mềm độc hại viết bằng ngôn ngữ Golang đang lợi dụng nền tảng Telegram để tự động lây lan và phát tán một cách âm thầm. Sự việc này nhấn mạnh tầm quan trọng của việc bảo mật thông tin cá nhân khi sử dụng các ứng dụng giao tiếp trực tuyến.
Mới đây, một loại mã độc cửa hậu (backdoor) mới đã được phát hiện, sử dụng Telegram làm trung tâm điều khiển. Theo thông tin từ các chuyên gia tại Netskope, mã độc này được phát triển bằng ngôn ngữ lập trình Golang (Go). Golang nổi bật với tính đơn giản, khả năng hỗ trợ đa luồng và mở rộng tốt trong các hệ thống backend, dịch vụ đám mây cũng như ứng dụng mạng. Điều này làm tăng tính nguy hiểm của mã độc khi có thể dễ dàng tích hợp vào các môi trường khác nhau.
Loại backdoor này có khả năng thực thi lệnh PowerShell, tự hủy và chạy các lệnh được lập trình trước. Điểm nổi bật khiến nó trở nên nguy hiểm hơn so với các phần mềm độc hại khác chính là phương thức hoạt động Command and Control (C2). Thay vì phụ thuộc vào máy chủ độc lập, mã độc này lại sử dụng bot Telegram được tạo ra thông qua mã API do Botfather cung cấp.
Phần mềm độc hại này không ngừng theo dõi lệnh từ các cuộc trò chuyện trên Telegram. Trước khi thực hiện bất kỳ hành động nào, nó sẽ tiến hành xác minh tính hợp lệ của các lệnh đã nhận.
Việc sử dụng Telegram và các dịch vụ đám mây khác làm máy chủ C2 đã không còn xa lạ. Tuy nhiên, các chuyên gia bảo mật cảnh báo rằng đây là một phương thức tiềm ẩn nhiều rủi ro. Điều đáng lưu ý là sự khó khăn trong việc phân loại dữ liệu hợp pháp và dữ liệu độc hại, tạo ra những thách thức nghiêm trọng trong việc bảo vệ an ninh thông tin.
Ngày nay, việc tin tặc tận dụng ứng dụng đám mây làm kênh điều khiển và chỉ huy (C2) không phải là điều hiếm gặp, mặc dù không xảy ra mỗi ngày. Chiến thuật này mang lại nhiều lợi ích cho kẻ tấn công, giúp họ tiết kiệm thời gian và công sức trong việc xây dựng cơ sở hạ tầng riêng. Đáng chú ý, điều này cũng làm cho các chuyên gia an ninh mạng gặp khó khăn hơn trong việc phát hiện các hoạt động đáng ngờ. Theo cảnh báo từ Netskope, việc phân biệt giữa người dùng hợp pháp sử dụng API và kết nối C2 từ những kẻ tấn công sẽ là thử thách lớn cho các hệ thống phòng thủ hiện tại.
Ngoài Telegram, các nhóm tin tặc đang mở rộng hoạt động của mình trên nhiều nền tảng đám mây như OneDrive, GitHub và Dropbox nhằm che giấu hành vi xâm nhập. Dù Netskope chưa công bố số lượng nạn nhân bị ảnh hưởng, song họ xác nhận phần mềm độc hại này có khả năng xuất xứ từ Nga. Sự gia tăng này đặt ra mối lo ngại lớn cho người dùng và tổ chức, nhấn mạnh sự cần thiết phải nâng cao ý thức bảo mật trên các nền tảng trực tuyến.
Mã độc Golang vừa xuất hiện, một tín hiệu cảnh báo rõ ràng về mối đe dọa từ các ứng dụng thông dụng. Để bảo vệ bản thân, người dùng nên nâng cao cảnh giác và thường xuyên cập nhật phần mềm bảo mật. Đồng thời, cần tuyệt đối chưa mở bất kỳ tệp tin hay đường link nào có dấu hiệu đáng ngờ. Hãy cẩn trọng để bảo vệ thông tin cá nhân và thiết bị của bạn.
