Phần mềm độc hại trong tệp PDF - rủi ro lớn tiếp của doanh nghiệp

Khi nói đến phần mềm độc hại, người dùng thường bị lây nhiễm qua email lừa đảo hoặc thư rác. Trong hầu hết các trường hợp, phần mềm độc hại xâm nhập vào thiết bị sau khi người dùng mở một liên kết hoặc tải xuống một tệp chứa mã độc.

Phần mềm độc hại thường được sử dụng để trích xuất dữ liệu có giá trị với mục đích khai thác vì lợi ích tài chính. Trong vài năm qua, đã xuất hiện một số loại phần mềm độc hại nguy hiểm như ransomware Petya , botnet Mirai và Emotet Trojan, gây ra tổn thất đáng kể cho các tổ chức.

Phần mềm độc hại xâm nhập vào các tổ chức chủ yếu thông qua email. Một nghiên cứu của  Công ty an ninh mạng đa quốc gia Palo Alto Networks đã chỉ ra rằng 66% phần mềm độc hại được gửi qua các tệp PDF dưới dạng tệp đính kèm email.

Trong khi đó, PDF đã ra đời từ rất lâu và theo Duff Johnson, Giám đốc điều hành của Hiệp hội PDF, hiện có hàng nghìn tỷ tệp PDF tồn tại trên thế giới và hàng tỷ tệp mới được tạo hàng ngày. Do đó, phần mềm độc hại đính kèm trong các file PDF được coi là rủi ro lớn đối với các doanh nghiệp (DN).

Phần mềm độc hại trong tệp PDF - rủi ro lớn tiếp theo của DN

PDF, loại tệp tin được sử dụng phổ biến trong môi trường kinh doanh, đang trở thành một mục tiêu hấp dẫn cho các cuộc tấn công mạng. Điều đáng chú ý là nạn nhân thường thiếu khả năng phòng ngừa với loại tệp tin thông dụng này, so với các tệp tin như EXE mà họ có thể cảnh giác hơn. Đáng lo ngại hơn, nhiều người thậm chí không nhận ra rằng PDF cũng có thể được sử dụng để thực hiện các hành vi xấu.

Virus, Trojan, mã độc có nhiều cách ẩn bên trong tệp PDF và thường được phát tán thông qua các tệp được tải xuống hoặc tệp đính kèm trong email như ebook hoặc các tài liệu khác. Chúng thường được gửi từ các nguồn không xác định hoặc không quen thuộc.

Báo cáo Nghiên cứu Xu hướng mối đe dọa mạng của Unit 42 (nhóm nghiên cứu về thông tin mối đe dọa toàn cầu) của Palo Alto Networks cũng cho biết số vụ tấn công bằng phần mềm độc hại trung bình mà mỗi tổ chức trong ngành sản xuất, tiện ích và năng lượng gặp phải đã tăng 238% (từ năm 2021 đến năm 2022). Điều này cho thấy sự gia tăng đáng kể của mối đe dọa này và sự cần thiết của việc thực hiện các biện pháp bảo mật hiệu quả để đối phó với chúng.

Theo Palo Alto Networks, "Phần lớn mọi người đều biết rằng không nên nhấp vào các liên kết lạ trong email, do đó tin tặc đã chuyển sang các kế hoạch lừa đảo thông qua sử dụng định dạng PDF, vì nó có thể hiệu quả hơn so với email thông thường chỉ chứa một liên kết đơn giản dễ nhận biết".

Đặc biệt, tin tặc thường có kỹ năng trong các chiêu trò kỹ thuật xã hội, do đó các email lừa đảo thường được thiết kế để thao túng cảm xúc của người đọc hoặc đánh vào những thành kiến vô thức của họ.

Theo đó, một số kế hoạch lừa đảo thông qua tệp PDF đã được tin tặc sử dụng phổ biến. Đặc điểm chung của những kế hoạch này là sử dụng các quy ước đặt tên mà người dùng thường gặp trong môi trường kinh doanh.

Ví dụ, các tệp PDF có tên như "invoice_AUG_4601582.pdf" hoặc "Đánh giá mức lương được cập nhật" có thể thu hút sự quan tâm của những người nhẹ dạ mở các tệp đính kèm này. Trong các tệp PDF này, kẻ lừa đảo có thể chèn liên kết URL để để đánh lừa nạn nhân nhấp chuột hoặc nút đưa đến trang web với mục đích xấu.

Phần mềm độc hại trong tệp PDF đang trở thành một vấn đề đáng lo ngại đến mức Phòng thí nghiệm Sức đẩy Phản lực (JPL) thuộc Cơ quan Hàng không Vũ trụ Hoa Kỳ (NASA) đã tạo ra kho lưu trữ tệp PDF mã nguồn mở lớn nhất thế giới, chứa 8 triệu tệp riêng lẻ nhằm hỗ trợ, cung cấp tài liệu cho các nhóm nghiên cứu phát triển các công cụ phát hiện phần mềm độc hại được nhúng trong mã của tệp PDF.

Kho dữ liệu này là một trong những công cụ quan trọng được JPL phát triển cùng với Hiệp hội PDF, nhằm cải thiện bảo mật trực tuyến. Các nhà nghiên cứu trên toàn cầu có thể tận dụng nguồn tài nguyên này để xác định các lỗ hổng bảo mật trong phần mềm hoặc dự đoán các mối đe dọa mạng tiềm ẩn trong tương lai.

Các mối đe dọa liên quan đến ChatGPT cũng tăng lên nhanh chóng

Ngoài phần mềm độc hại trong tệp PDF, các chuyên gia cũng đã cảnh báo về các mối đe dọa khác.

Trong khi công nghệ ngày càng phát triển, những kẻ lừa đảo cũng không ngừng tìm kiếm cách khai thác các lỗ hổng trong mạng lưới được kết nối với nhau. Steven Scheurmann, Phó Chủ tịch khu vực ASEAN tại Palo Alto Networks (Mỹ) cho biết: "Với sự kết hợp tinh vi của các công cụ tránh né và các phương pháp ngụy trang, những kẻ xấu đã biến các mối đe dọa thành vũ khí".

Palo Alto Networks cũng tiết lộ những phát hiện đáng chú ý khác, bao gồm mức tăng 55% trong các nỗ lực khai thác lỗ hổng trên mỗi khách hàng so với năm 2021.

Theo Unit 42, các mối đe dọa liên quan đến ChatGPT cũng tăng lên khi số lượt đăng ký miền hàng tháng tăng 910% từ tháng 11/2022 đến tháng 4/2023. Các miền này cố gắng bắt chước chatbot AI, cho thấy sự gia tăng trong các hoạt động giả mạo chatbot AI, một xu hướng đáng lo ngại khác trên phạm vi toàn cầu.

Ngoài ra, việc sử dụng hệ điều hành Linux trong môi trường đám mây công cộng cũng đang trở thành một mục tiêu hấp dẫn cho những kẻ tấn công.

Theo ước tính, có tới 90% số lượng trường hợp đám mây công cộng đang chạy trên hệ điều hành Linux, và điều này đã tạo ra những cơ hội mới cho tin tặc. Không chỉ riêng đám mây, mà các thiết bị IoT chạy trên các hệ điều hành giống Unix cũng trở thành mục tiêu tiềm năng. Các loại mối đe dọa phổ biến nhất đối với hệ thống Linux bao gồm botnet (47%), máy đào coin (21%), và cửa hậu (backdoor) (11%).

Trong khi đó, lưu lượng liên quan đến hoạt động khai thác tiền điện tử cũng đã tăng gấp đôi vào năm 2022, với 45% tổ chức được lấy mẫu có lịch sử kích hoạt chữ ký chứa lưu lượng truy cập liên quan đến người khai thác tiền điện tử.

Báo cáo cũng cho biết rằng, nhằm tránh bị phát hiện, các tác nhân đe dọa đã sử dụng các miền mới được đăng ký (NRD) để thực hiện các chiêu thức lừa đảo kỹ thuật xã hội và phát tán phần mềm độc hại. Đáng chú ý là tội phạm mạng thường nhắm mục tiêu vào những người truy cập trang web người lớn (chiếm 20,2%) và các trang web dịch vụ tài chính (chiếm 13,9%) thông qua việc sử dụng các miền NRD.

Đối phó với phần mềm độc hại trong các tệp PDF

Mặc dù có nhiều cách chủ động để bảo vệ khỏi các cuộc tấn công, tập đoàn phần mềm máy tính Adobe đã đề xuất ba bước bảo vệ khỏi phần mềm độc hại trong tệp PDF bao gồm: Nhận biết các dấu hiệu lừa đảo; Sử dụng trình đọc PDF đáng tin cậy; Chạy phần mềm quét virus thường xuyên.

Trong khi đó, Palo Alto Networks cũng gợi ý rằng ngoài các phương pháp phát hiện truyền thống, như phát hiện dựa trên chữ ký và gắn nhãn URL độc hại, các mô hình học máy cũng có thể bảo vệ chống lại các chiến dịch lừa đảo PDF đang thay đổi nhanh chóng.

Ngoài ra, các chuyên gia về an ninh mạng cũng khuyến nghị các DN cần đào tạo nhân viên về các mối đe dọa và kỹ thuật phòng ngừa như phishing và lừa đảo qua email; Đảm bảo nhân viên hiểu rõ về nguy cơ của phần mềm độc hại trong các tệp PDF và cách nhận biết các tệp đính kèm độc hại.

Bên cạnh đó, người dùng cần kiểm tra nguồn gốc của email và tệp đính kèm trước khi mở, nếu không chắc chắn về nguồn gốc hãy cẩn thận và hạn chế việc mở nó. Đảm bảo rằng hệ điều hành và phần mềm trên các thiết bị, các bản vá bảo mật đều được cập nhật với phiên bản mới nhất. Các bản vá bảo mật thường bao gồm các bản sửa lỗi và cải thiện bảo mật để ngăn chặn việc tận dụng các lỗ hổng đã biết.

Đồng thời, các DN cần cân nhắc triển khai các giải pháp bảo mật tiên tiến, mạnh mẽ để phát hiện và ngăn chặn phần mềm độc hại trong các tệp PDF; Đảm bảo phần mềm bảo mật được cập nhật thường xuyên để bảo vệ chống lại các biến thể mới, tăng cường khả năng phát hiện và ngăn chặn phần mềm độc hại. Thực hiện sao lưu định kỳ dữ liệu quan trọng để đảm bảo có khả năng khôi phục lại dữ liệu trong trường hợp xảy ra sự cố hoặc tấn công mạng.

Tóm lại, để đối phó với phần mềm độc hại trong các tệp PDF, việc áp dụng các biện pháp bảo mật phù hợp, sự nhạy bén và sự cảnh giác là rất quan trọng./.