هشدار در مورد بدافزار Valley RAT که خود را به جای «پیش‌نویس قطعنامه چهاردهمین کنگره ملی حزب» جا می‌زند

این ترفندی است که از فضای سیاسی گسترده مردم برای انتشار بدافزار، سرقت اطلاعات و ایجاد خطر برای امنیت سیستم‌های اطلاعاتی آژانس‌ها، سازمان‌ها و افراد سوءاستفاده می‌کند.

طبق گزارش دپارتمان امنیت سایبری و پیشگیری از جرایم پیشرفته (پلیس شهر هانوی )، بدافزار Valley RAT در فایلی به نام "DRAFT RESOLUTION OF THE CONGRESS.exe" پنهان شده است. هنگامی که کاربر فایل را باز می‌کند، بدافزار بلافاصله خود را در سیستم نصب می‌کند، هر بار که کامپیوتر روشن می‌شود به طور خودکار اجرا می‌شود و به سرور کنترل (C2) در آدرس 27.124.9.13 (پورت 5689) که توسط هکرها کنترل می‌شود، متصل می‌شود. از اینجا، این بدافزار می‌تواند اقدامات خطرناکی انجام دهد: سرقت اطلاعات حساس روی کامپیوتر کاربر؛ کنترل کامپیوتر را به دست گرفتن؛ سرقت حساب‌های شخصی، حساب‌های آژانس؛ جمع‌آوری اسناد داخلی؛ ادامه انتشار بدافزار به سایر دستگاه‌های همان سیستم.

عامل خطرناک این است که رابط کاربری فایل طوری تغییر شکل داده شده که شبیه یک سند اداری واقعی به نظر برسد و این امر باعث می‌شود کاربران به راحتی گیج شوند، به خصوص در شرایطی که بسیاری از واحدها اسناد را ارسال و دریافت می‌کنند تا در مورد اسناد نظر بدهند.

مقامات با اسکن گسترده‌تر، فایل‌های مخرب بسیار بیشتری با ساختارهای مشابه کشف کردند که شبیه اسناد اداری آشنا بودند: FINANCIAL REPORT2.exe یا BUSINESS INSURANCE PAYMENT.exe؛ GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe؛ TAX DECLARATION SUPPORT.exe؛ PARTY ACTIVITY EVALATION DOCUMENT.exe یا AUTHORIZATION FORM.exe؛ MONUTES OF REPORT FOR THE TRIRD QUARTER.exe

این فایل‌ها بر اساس جزئیات مربوط به کارهای اداری، امور مالی، امور حزبی، مالیات و... نامگذاری شده‌اند که این امر احتمال اینکه کاربران فکر کنند این فایل‌ها اسناد داخلی هستند و آنها را باز کنند را افزایش می‌دهد و شرایط را برای انتشار بدافزار فراهم می‌کند.

پلیس شهر هانوی از طریق تجزیه و تحلیل فنی، Valley RAT را به عنوان یک تهدید ویژه ارزیابی کرد، زیرا دارای ویژگی‌هایی است که آن را به یک تهدید بزرگ تبدیل می‌کند: پنهان شدن در سیستم، شروع خودکار با ویندوز؛ اجازه دادن به هکرها برای کنترل از راه دور دستگاه؛ قابلیت دانلود بدافزارهای اضافی؛ جمع‌آوری خودکار داده‌های حساس و ارسال آنها به سرور کنترل؛ قابلیت ضبط کلیدهای فشرده شده، گرفتن اسکرین شات، سرقت رمزهای عبور ذخیره شده در مرورگر؛ انتشار آسان در سیستم شبکه داخلی...

بسیاری از سازمان‌ها و ادارات از ایمیل داخلی یا Zalo، مسنجر فیسبوک، برای تبادل اسناد استفاده می‌کنند و اگر فقط یک کامپیوتر در سیستم آلوده باشد، ناخواسته محیطی مساعد برای انتشار بدافزار ایجاد می‌کنند. برای اطمینان از امنیت اطلاعات، اداره امنیت سایبری و پیشگیری از جرایم پیشرفته، اداره پلیس شهر هانوی، توصیه‌های خاصی ارائه داده است: فایل‌های عجیب، فایل‌های .exe را از ایمیل یا شبکه‌های اجتماعی باز یا دانلود نکنید، به ویژه در مورد فایل‌هایی با پسوندهای زیر محتاط باشید: .exe؛ .dll؛ .bat؛ .msi... حتی اگر فایل از طرف یک آشنا ارسال شده باشد (ممکن است حساب کاربری ربوده شده باشد).

پلیس هانوی خاطرنشان می‌کند که نرم‌افزار آنتی‌ویروس رایگان کسپرسکی هنوز این نوع بدافزار را شناسایی نکرده است.

علاوه بر استفاده از نرم‌افزارهای آنتی‌ویروس و فایروال‌ها، افراد باید از Process Explorer برای مشاهده فرآیندهای عجیب و غریب بدون امضاهای دیجیتال استفاده کنند؛ از TCPView برای بررسی اتصال استفاده کنند؛ اگر اتصالی به IP 27.124.9.13 مشاهده کردید، باید فوراً آن را مدیریت کنید.

مردم باید اطلاعات هشدار رسمی را دریافت کنند، توصیه‌های وزارت امنیت عمومی ؛ وزارت اطلاعات و ارتباطات؛ پلیس محلی را دنبال کنند؛ برای جلوگیری از انتشار، فایل‌های مشکوک را در شبکه‌های اجتماعی به اشتراک نگذارند؛ برای محافظت از امنیت شبکه ملی، هوشیاری خود را افزایش دهند...

منبع: https://baolaocai.vn/canh-bao-ma-doc-valley-rat-gia-danh-du-thao-nghi-quyet-dai-hoi-xiv-cua-dang-post886962.html