Chuyên gia an ninh mạng cảnh báo chiêu lừa đảo mới qua Telegram, mọi người cần đặc biệt lưu ý

Theo TechRadar, các chuyên gia an ninh mạng đã phát hiện một thủ đoạn lừa đảo mới, trong đó phần mềm độc hại được sử dụng như một công cụ để tự lây lan qua Telegram. Cụ thể, một loại phần mềm độc hại Golang đang lợi dụng Telegram để âm thầm phát tán.

Theo đó, một loại mã độc cửa hậu (backdoor) mới đã bị phát hiện, sử dụng Telegram làm trung tâm điều khiển và kiểm soát (C2). Theo các chuyên gia từ Netskope, mã độc này được viết bằng Golang (hay còn gọi là Go) – một ngôn ngữ lập trình nổi tiếng nhờ tính đơn giản, hỗ trợ đa luồng hiệu quả và khả năng mở rộng trong các hệ thống backend, dịch vụ đám mây và ứng dụng mạng.

Loại backdoor này có thể thực thi lệnh PowerShell, tự hủy và thực hiện các lệnh được lập trình sẵn. Điểm đặc biệt khiến nó nguy hiểm hơn các phần mềm độc hại khác chính là cách nó vận hành C2. Thay vì sử dụng máy chủ độc lập, mã độc này tạo một bot Telegram bằng mã API do Botfather cung cấp.

Sau đó, nó liên tục lắng nghe các lệnh từ một cuộc trò chuyện trên Telegram. Trước khi thực thi bất kỳ hành động nào, phần mềm độc hại này sẽ xác minh tính hợp lệ của lệnh nhận được.

Việc sử dụng Telegram hoặc các dịch vụ đám mây khác làm máy chủ C2 không phải là mới, nhưng theo các chuyên gia bảo mật, đây là một phương thức nguy hiểm vì rất khó phân biệt giữa dữ liệu hợp pháp và dữ liệu độc hại.

“Mặc dù không phải ngày nào cũng thấy kẻ tấn công sử dụng ứng dụng đám mây làm kênh C2, nhưng đây lại là một chiến thuật rất hiệu quả. Nó không chỉ giúp tin tặc tiết kiệm công sức thiết lập cơ sở hạ tầng riêng mà còn khiến các chuyên gia an ninh mạng khó phát hiện. Từ góc độ phòng thủ, thật khó để phân biệt đâu là người dùng hợp pháp đang sử dụng API và đâu là giao tiếp C2 của kẻ tấn công," Netskope cảnh báo.

Không chỉ Telegram, các nhóm tin tặc còn khai thác OneDrive, GitHub, Dropbox và nhiều nền tảng đám mây khác để che giấu hoạt động xâm nhập. Netskope không tiết lộ số lượng nạn nhân bị ảnh hưởng nhưng cho biết phần mềm độc hại này có thể có nguồn gốc từ Nga.

Sự xuất hiện của mã độc Golang này là lời cảnh báo về mối đe dọa tiềm tàng từ các ứng dụng phổ biến. Người dùng cần nâng cao cảnh giác, thường xuyên cập nhật phần mềm bảo mật và tuyệt đối không mở các tệp tin hoặc đường link đáng ngờ.