Một mối đe dọa an ninh mạng vừa được các chuyên gia nhận diện, sử dụng nền tảng nhắn tin phổ biến Telegram làm công cụ để tiến hành các hoạt động phá hoại. Phần mềm độc hại mang tên Golang không chỉ có khả năng theo dõi thông tin mà còn tự động lây lan và thực hiện nhiều hành động nguy hiểm khác. Hãy cẩn trọng để bảo vệ dữ liệu cá nhân của bạn khỏi các mối nguy này.
Các nhà nghiên cứu của Netskope vừa công bố phát hiện đáng chú ý về một loại backdoor được phát triển bằng ngôn ngữ lập trình Golang. Đặc biệt, backdoor này sử dụng Telegram như một trạm chỉ huy và kiểm soát (C2). Thay vì dựa vào hệ thống máy chủ phức tạp, kẻ tấn công đã khéo léo khai thác Telegram để gửi lệnh và thu thập thông tin từ backdoor. Thông tin này mở ra một góc nhìn mới về cách thức mà các cuộc tấn công mạng đang tiến hóa.
Một trong những tính năng nổi bật của backdoor này là khả năng tạo ra một bot Telegram thông qua Botfather. Sau khi thiết lập, bot sẽ liên tục theo dõi các lệnh gửi đến từ một cuộc trò chuyện Telegram. Đặc biệt, trước mỗi hành động được thực hiện, backdoor sẽ tiến hành kiểm tra tính hợp lệ của lệnh để đảm bảo tính an toàn và đúng đắn trong quá trình hoạt động. Thiết kế này không chỉ mang đến sự linh hoạt mà còn tạo ra một lớp bảo mật nhất định cho người sử dụng.
Việc tận dụng Telegram như một kênh giao tiếp C2 đã tạo ra nhiều thách thức trong việc phát hiện và ngăn chặn các backdoor. Các chuyên gia bảo mật gặp khó khăn trong việc phân loại thông tin độc hại và dữ liệu hợp lệ trên nền tảng này. Sự phức tạp của luồng thông tin khiến cho việc bảo vệ hệ thống trở nên khó khăn hơn bao giờ hết.
Sử dụng ứng dụng đám mây làm kênh Command and Control (C2) không phải là điều phổ biến, nhưng đây là một chiến thuật tinh vi mà các kẻ tấn công thường áp dụng. Theo báo cáo từ Netskope, phương pháp này giúp kẻ xấu tiết kiệm thời gian và tài nguyên vì không cần phải thiết lập một hạ tầng phức tạp. Thêm vào đó, từ góc độ an ninh, rất khó để phân biệt giữa người dùng hợp pháp đang sử dụng API và các cuộc giao tiếp C2. Điều này tạo ra thách thức lớn trong việc phát hiện và phòng chống các mối đe dọa mạng.
Ngoài nền tảng Telegram, các mối đe dọa cũng thường khai thác nhiều dịch vụ lưu trữ đám mây khác, bao gồm OneDrive, GitHub và Dropbox, để thực hiện các cuộc tấn công. Mặc dù Netskope không công bố số lượng nạn nhân khả thi, nhưng hãng cảnh báo rằng phần mềm độc hại này khả năng cao có nguồn gốc từ Nga.
Sự xuất hiện của backdoor Golang mang đến một cảnh báo nghiêm túc về nguy cơ tiềm ẩn từ các ứng dụng mà chúng ta thường sử dụng. Người dùng cần nâng cao tinh thần cảnh giác bằng cách thường xuyên cập nhật phần mềm bảo mật. Hãy nhớ không mở các liên kết hoặc tệp tin đáng ngờ để bảo vệ thông tin cá nhân và thiết bị của mình.
