Đây là thủ đoạn lợi dụng chính môi trường sinh hoạt chính trị rộng rãi của nhân dân để phát tán mã độc, đánh cắp thông tin và gây nguy cơ mất an toàn hệ thống thông tin của cơ quan, tổ chức và từng cá nhân.
Theo Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Công an TP Hà Nội), mã độc Valley RAT được ngụy trang trong tệp có tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”. Khi người dùng mở tệp, mã độc lập tức âm thầm cài vào hệ thống, tự chạy mỗi khi khởi động máy và kết nối đến máy chủ điều khiển (C2) tại địa chỉ 27.124.9.13 (port 5689) do tin tặc kiểm soát. Từ đây, mã độc có thể thực hiện các hành vi nguy hiểm: Đánh cắp thông tin nhạy cảm trong máy người dùng; Chiếm quyền điều khiển máy tính; Lấy cắp tài khoản cá nhân, tài khoản cơ quan; Thu thập tài liệu nội bộ; Phát tán tiếp mã độc sang thiết bị khác trong cùng hệ thống.
Yếu tố nguy hiểm là giao diện tệp được ngụy trang giống như một tài liệu hành chính thật, khiến người dùng rất dễ nhầm lẫn, đặc biệt trong bối cảnh nhiều đơn vị đang gửi và nhận tài liệu để góp ý văn kiện.
Qua mở rộng rà quét, lực lượng chức năng phát hiện thêm nhiều tệp độc hại có cấu trúc tương tự, nhìn bề ngoài giống văn bản hành chính quen thuộc: BÁO CÁO TÀI CHÍNH2.exe hoặc THANH TOÁN BẢO HIỂM DOANH NGHIỆP.exe; CÔNG VĂN HỎA TỐC CỦA CHÍNH PHỦ.exe; HỖ TRỢ KÊ KHAI THUẾ.exe; CÔNG VĂN ĐÁNH GIÁ HOẠT ĐỘNG ĐẢNG.exe hoặc MẪU GIẤY ỦY QUYỀN.exe; BIÊN BẢN BÁO CÁO QUÝ III.exe
Các tệp này được đặt tên theo đúng đặc thù công việc văn phòng, tài chính, Đảng vụ, thuế... làm tăng khả năng người dùng tưởng là tài liệu nội bộ và mở ra, tạo điều kiện cho mã độc lây lan.
Qua phân tích kỹ thuật, Công an TP Hà Nội đánh giá Valley RAT đặc biệt nguy hiểm vì sở hữu các đặc điểm khiến nó trở thành mối đe dọa lớn: Ẩn mình trong hệ thống, tự khởi động cùng Windows; Cho phép tin tặc điều khiển thiết bị từ xa; Có khả năng tải thêm mã độc khác; Tự động thu thập dữ liệu nhạy cảm và gửi về máy chủ điều khiển; Có thể ghi lại phím bấm, chụp màn hình, đánh cắp mật khẩu lưu trong trình duyệt; Dễ dàng lây lan trong hệ thống mạng nội bộ...
Nhiều cơ quan, tổ chức sử dụng email nội bộ hoặc Zalo, Facebook Messenger để trao đổi tài liệu, vô tình tạo môi trường thuận lợi cho mã độc phát tán nếu chỉ một máy trong hệ thống bị nhiễm. Để đảm bảo an toàn thông tin, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an TP Hà Nội đưa ra các khuyến nghị cụ thể: Không mở, không tải các tệp lạ, tệp .exe từ email hoặc mạng xã hội, đặc biệt cảnh giác với các tệp có đuôi: .exe;.dll; .bat; .msi... Kể cả khi tệp được gửi từ người quen (tài khoản có thể đã bị chiếm đoạt).
Công an Hà Nội lưu ý về phần mềm diệt virus Kaspersky miễn phí hiện chưa phát hiện được loại mã độc này.
Bên cạnh việc dùng các phần mềm diệt virut và tường lửa, người dân cần dùng Process Explorer để xem tiến trình lạ không có chữ ký số; Dùng TCPView để kiểm tra kết nối; nếu thấy kết nối đến IP 27.124.9.13, cần xử lý ngay.
Người dân cần tiếp nhận thông tin cảnh báo chính thống, theo dõi các khuyến cáo từ: Bộ Công an; Bộ Thông tin và Truyền thông; Công an địa phương; Không chia sẻ các tệp nghi ngờ lên mạng xã hội để tránh gây lây lan; Tăng cường cảnh giác để bảo vệ an ninh mạng quốc gia…
