Cảnh báo lừa đảo gửi thông tin việc làm dưới dạng PDF/DOCS
Kẻ xấu lợi dụng nhu cầu tìm việc, gửi file "hợp đồng công việc" có icon Word/PDF nhưng thực chất là malware .exe. Bài viết phân tích chi tiết cách thức hoạt động và cách phòng tránh.
🚨 Cảnh báo lừa đảo: File "hợp đồng công việc" giả mạo
⚠️ CẢNH BÁO KHẨN CẤP: Đang xuất hiện chiêu trò lừa đảo mới qua Messenger/Email với file giả mạo "hợp đồng công việc" có icon Word/PDF nhưng thực chất là malware .exe nguy hiểm!
Mình cảm ơn một bạn trong nhóm J2Team đã gửi mình sample này. Mình chia sẻ cách thức hoạt động của con malware này để mọi người cảnh giác.
📋 Tổng quan về mối đe dọa
🎯 Mục tiêu tấn công
- Đối tượng: Người tìm việc làm
- Phương thức: Gửi file qua Messenger/Email
- Ngụy trang: Icon Word/PDF nhưng thực chất là file
.exe - Tên file mẫu:
t.exe(trongJDjobRoyalbookstore2025.zip)
💀 Mục đích của malware
- Thu thập mật khẩu từ trình duyệt
- Chụp ảnh màn hình
- Lấy thông tin hệ thống
- Gửi dữ liệu về kênh Telegram của hacker
🔍 Phân tích hành vi malware
1. 🚀 Tự động khởi động cùng Windows
Malware sẽ tự copy vào thư mục startup:
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SecurityHealthsService.exe
Hậu quả: Mỗi lần khởi động máy, malware sẽ tự động chạy ngầm.
2. 🔐 Đánh cắp thông tin đăng nhập
Trình duyệt bị tấn công:
- Chrome
- Edge
- Firefox
- Opera
- Yandex
- Brave
Dữ liệu bị đánh cắp: Lưu vào file passwords.txt
3. 📸 Thu thập dữ liệu cá nhân
Script chụp màn hình:
cmd.exe /d /s /c "screenCapture_1.3.2.bat" "moi.jpg"
Dữ liệu thu thập:
- Cookie từ trình duyệt → thư mục
Cookie - Ảnh màn hình → file
moi.jpg - Thông tin hệ thống (tên máy, Windows version, CPU, GUID)
4. 🌐 Truy vấn thông tin mạng
Malware sẽ lấy IP công cộng qua:
https://myexternalip.com/whatismyip.com
5. 🧹 Xóa dấu vết
Lệnh dọn dẹp:
taskkill /IM chrome.exe /F
taskkill /IM msedge.exe /F
del /q %Temp%\*
Mục đích: Tắt trình duyệt và xóa file tạm để tránh phát hiện.
6. 📡 Gửi dữ liệu về C2 Server
Kênh liên lạc: Telegram API (api.telegram.org)
Dữ liệu gửi đi:
passwords.txt- Danh sách mật khẩu- Thư mục
Cookie- Cookie trình duyệt moi.jpg- Ảnh chụp màn hình
💥 Hậu quả nếu nhiễm malware
⚠️ Tác động nghiêm trọng:
- • Mất toàn bộ mật khẩu đã lưu trên trình duyệt
- • Bị chiếm tài khoản tự động qua cookie
- • Máy tính thành botnet, bị điều khiển từ xa
- • Thông tin cá nhân bị lộ hoàn toàn
🎭 Cách thức ngụy trang
🎨 Kỹ thuật đánh lừa
- Đổi icon → Biểu tượng Word/PDF
- Đặt tên hấp dẫn →
HopDongJobRoyal.exe - Nén với mật khẩu → ZIP file với pass
royal2025 - Gửi qua kênh tin cậy → Messenger, Email
📧 Ví dụ tin nhắn lừa đảo
"Chào bạn! Công ty chúng tôi có vị trí phù hợp với bạn. Vui lòng xem hợp đồng đính kèm. Pass: royal2025"
🛡️ Cách phòng tránh
✅ Các bước bảo vệ cơ bản
🔒 Checklist bảo mật:
🚨 Nếu đã chạy nhầm file độc hại
⚡ Hành động khẩn cấp:
- Ngắt mạng ngay lập tức
- Chạy Windows Defender full scan
- Đổi tất cả mật khẩu quan trọng
- Đăng xuất khỏi tất cả thiết bị
- Kiểm tra hoạt động tài khoản ngân hàng
📊 TL;DR - Tóm tắt nhanh
| Khía cạnh | Chi tiết |
|---|---|
| Phương thức | File .exe ngụy trang icon Word/PDF |
| Kênh phát tán | Messenger, Email |
| Dữ liệu đánh cắp | Mật khẩu, Cookie, Screenshot |
| C2 Server | Telegram API |
| Cách phòng tránh | Kiểm tra đuôi file, dùng VirusTotal |
💡 Lời khuyên từ chuyên gia:
"Luôn nghi ngờ các file đính kèm từ nguồn không rõ ràng. Khi có việc làm thật sự, nhà tuyển dụng sẽ liên hệ qua kênh chính thức và không yêu cầu tải file .exe bất kỳ."
Hãy chia sẻ bài viết này để bảo vệ bạn bè và người thân khỏi những chiêu trò lừa đảo nguy hiểm!
Bài viết được tạo với sự hỗ trợ của AI để giúp cộng đồng nâng cao nhận thức về an ninh mạng. Hãy luôn cảnh giác và cập nhật kiến thức bảo mật.