Phần mềm độc hại trong tệp PDF – Rủi ro lớn cho các doanh nghiệp

Trong vài năm qua, đã xuất hiện một số loại phần mềm độc hại nguy hiểm như ransomware Petya , botnet Mirai và Emotet Trojan, gây ra tổn thất đáng kể cho các tổ chức. Phần mềm độc hại thường được sử dụng để trích xuất dữ liệu có giá trị với mục đích khai thác vì lợi ích tài chính.

Phần mềm độc hại xâm nhập vào các tổ chức chủ yếu thông qua email. Một nghiên cứu của Công ty an ninh mạng đa quốc gia Palo Alto Networks đã chỉ ra rằng 66% phần mềm độc hại được gửi qua các tệp PDF dưới dạng tệp đính kèm email.

Trong khi đó, PDF đã ra đời từ rất lâu và theo Duff Johnson, Giám đốc điều hành của Hiệp hội PDF, hiện có hàng nghìn tỷ tệp PDF tồn tại trên thế giới và hàng tỷ tệp mới được tạo hàng ngày. Do đó, phần mềm độc hại đính kèm trong các file PDF được coi là rủi ro lớn đối với các doanh nghiệp (DN).

Phần mềm độc hại trong tệp PDF – rủi ro lớn tiếp theo của DN

PDF, loại tệp tin được sử dụng phổ biến trong môi trường kinh doanh, đang trở thành một mục tiêu hấp dẫn cho các cuộc tấn công mạng. Điều đáng chú ý là nạn nhân thường thiếu khả năng phòng ngừa với loại tệp tin thông dụng này, so với các tệp tin như EXE mà họ có thể cảnh giác hơn. Đáng lo ngại hơn, nhiều người thậm chí không nhận ra rằng PDF cũng có thể được sử dụng để thực hiện các hành vi xấu.

Virus, Trojan, mã độc có nhiều cách ẩn bên trong tệp PDF và thường được phát tán thông qua các tệp được tải xuống hoặc tệp đính kèm trong email như ebook hoặc các tài liệu khác. Chúng thường được gửi từ các nguồn không xác định hoặc không quen thuộc.

Báo cáo Nghiên cứu Xu hướng mối đe dọa mạng của Unit 42 (nhóm nghiên cứu về thông tin mối đe dọa toàn cầu) của Palo Alto Networks cũng cho biết số vụ tấn công bằng phần mềm độc hại trung bình mà mỗi tổ chức trong ngành sản xuất, tiện ích và năng lượng gặp phải đã tăng 238% (từ năm 2021 đến năm 2022). Điều này cho thấy sự gia tăng đáng kể của mối đe dọa này và sự cần thiết của việc thực hiện các biện pháp bảo mật hiệu quả để đối phó với chúng.

Theo Palo Alto Networks, “Phần lớn mọi người đều biết rằng không nên nhấp vào các liên kết lạ trong email, do đó tin tặc đã chuyển sang các kế hoạch lừa đảo thông qua sử dụng định dạng PDF, vì nó có thể hiệu quả hơn so với email thông thường chỉ chứa một liên kết đơn giản dễ nhận biết”.

Đặc biệt, tin tặc thường có kỹ năng trong các chiêu trò kỹ thuật xã hội, do đó các email lừa đảo thường được thiết kế để thao túng cảm xúc của người đọc hoặc đánh vào những thành kiến vô thức của họ.

Theo đó, một số kế hoạch lừa đảo thông qua tệp PDF đã được tin tặc sử dụng phổ biến. Đặc điểm chung của những kế hoạch này là sử dụng các quy ước đặt tên mà người dùng thường gặp trong môi trường kinh doanh.

Ví dụ, các tệp PDF có tên như “invoice_AUG_4601582.pdf” hoặc “Đánh giá mức lương được cập nhật” có thể thu hút sự quan tâm của những người nhẹ dạ mở các tệp đính kèm này. Trong các tệp PDF này, kẻ lừa đảo có thể chèn liên kết URL để để đánh lừa nạn nhân nhấp chuột hoặc nút đưa đến trang web với mục đích xấu.

Phần mềm độc hại trong tệp PDF đang trở thành một vấn đề đáng lo ngại đến mức Phòng thí nghiệm Sức đẩy Phản lực (JPL) thuộc Cơ quan Hàng không Vũ trụ Hoa Kỳ (NASA) đã tạo ra kho lưu trữ tệp PDF mã nguồn mở lớn nhất thế giới, chứa 8 triệu tệp riêng lẻ nhằm hỗ trợ, cung cấp tài liệu cho các nhóm nghiên cứu phát triển các công cụ phát hiện phần mềm độc hại được nhúng trong mã của tệp PDF.

Kho dữ liệu này là một trong những công cụ quan trọng được JPL phát triển cùng với Hiệp hội PDF, nhằm cải thiện bảo mật trực tuyến. Các nhà nghiên cứu trên toàn cầu có thể tận dụng nguồn tài nguyên này để xác định các lỗ hổng bảo mật trong phần mềm hoặc dự đoán các mối đe dọa mạng tiềm ẩn trong tương lai.

Đối phó với phần mềm độc hại trong các tệp PDF

Mặc dù có nhiều cách chủ động để bảo vệ khỏi các cuộc tấn công, tập đoàn phần mềm máy tính Adobe đã đề xuất ba bước bảo vệ khỏi phần mềm độc hại trong tệp PDF bao gồm: Nhận biết các dấu hiệu lừa đảo; Sử dụng trình đọc PDF đáng tin cậy; Chạy phần mềm quét virus thường xuyên.

Trong khi đó, Palo Alto Networks cũng gợi ý rằng ngoài các phương pháp phát hiện truyền thống, như phát hiện dựa trên chữ ký và gắn nhãn URL độc hại, các mô hình học máy cũng có thể bảo vệ chống lại các chiến dịch lừa đảo PDF đang thay đổi nhanh chóng.

Ngoài ra, các chuyên gia về an ninh mạng cũng khuyến nghị các DN cần đào tạo nhân viên về các mối đe dọa và kỹ thuật phòng ngừa như phishing và lừa đảo qua email; Đảm bảo nhân viên hiểu rõ về nguy cơ của phần mềm độc hại trong các tệp PDF và cách nhận biết các tệp đính kèm độc hại.

Bên cạnh đó, người dùng cần kiểm tra nguồn gốc của email và tệp đính kèm trước khi mở, nếu không chắc chắn về nguồn gốc hãy cẩn thận và hạn chế việc mở nó. Đảm bảo rằng hệ điều hành và phần mềm trên các thiết bị, các bản vá bảo mật đều được cập nhật với phiên bản mới nhất. Các bản vá bảo mật thường bao gồm các bản sửa lỗi và cải thiện bảo mật để ngăn chặn việc tận dụng các lỗ hổng đã biết.

Đồng thời, các DN cần cân nhắc triển khai các giải pháp bảo mật tiên tiến, mạnh mẽ để phát hiện và ngăn chặn phần mềm độc hại trong các tệp PDF; Đảm bảo phần mềm bảo mật được cập nhật thường xuyên để bảo vệ chống lại các biến thể mới, tăng cường khả năng phát hiện và ngăn chặn phần mềm độc hại. Thực hiện sao lưu định kỳ dữ liệu quan trọng để đảm bảo có khả năng khôi phục lại dữ liệu trong trường hợp xảy ra sự cố hoặc tấn công mạng.

Tóm lại, để đối phó với phần mềm độc hại trong các tệp PDF, việc áp dụng các biện pháp bảo mật phù hợp, sự nhạy bén và sự cảnh giác là rất quan trọng./.

Theo Tạp chí Thông tin truyền thông

Với 13 năm kinh nghiệm, PHUCBINH GROUP là nhà thầu điện nhẹ, nhà thầu công nghệ thông tin uy tín hàng đầu, chuyên cung cấp, triển khai thi công và bảo trì, nâng cấp hệ thống mạng, giúp đảm bảo an ninh mạng cho các nhà máy, doanh nghiệp, đơn vị công lập…