VnReview
Hà Nội

Malware Trung Quốc đang lây nhiễm 250 triệu máy tính Windows, MacOS

Các chuyên gia bảo mật đã phát hiện ra một chiến dịch phát tán phần mềm độc hại (malware) với quy mô cực kì lớn khi đã lây nhiễm cho hơn 250 triệu máy tính trên toàn cầu, bao gồm cả máy tính Windows và MacOS.

Theo TheHackerNews, được gọi với cái tên là Fireball, malware này là một phần mềm quảng cáo có khả năng chiếm toàn quyền điều khiển trình duyệt của nạn nhân và biến chúng thành công cụ gián điệp để hacker theo dõi lưu lượng truy cập web cũng như đánh cắp dữ liệu của người dùng.

Các chuyên gia tại công ty an ninh mạng CheckPoint, nơi đầu tiên phát hiện ra sự phát tán của Fireball, cho biết phần mềm độc hại này có mối liên hệ với Rafotech, một công ty Trung Quốc đang cung cấp dịch vụ marketing kĩ thuật số và ứng dụng game cho 300 triệu khách hàng.

Tính tới thời điểm hiện tại, Rafotech mới chỉ dùng Fireball để tạo doanh thu từ việc chèn quảng cáo vào trình duyệt. Tuy nhiên, các chuyên gia không khỏi lo ngại phần mềm độc hại này có thể nhanh chóng biến thành một sự cố an ninh mạng cực kì nghiêm trọng trên phạm vi toàn cầu.

Fireball được đóng gói kèm với một số phần mềm miễn phí được nhiều người dùng tải xuống từ Internet. Một khi đã được cài đặt, Fireball sẽ ngay lập tức cài đặt các plugin nhằm thực hiện những thao tác thay đổi cấu hình trình duyệt của nạn nhân như thay đổi trang chủ và chuyển công cụ tìm kiếm mặc định sang một công cụ tìm kiếm giả mạo.

"Điều quan trọng cần phải nhớ là khi người dùng cài đặt phần mềm miễn phí, malware không nhất thiết phải được cài đặt cùng lúc", các chuyên gia bảo mật cho biết, "Hơn nữa, dường như Rafotech đã sử dụng các biện pháp lây nhiễm bổ sung như phát tán phần mềm miễn phí dưới tên giả mạo, spam hay thậm chí là mua quyền cài đặt từ các hacker".

Công cụ tìm kiếm giả mạo được Fireball cài đặt chỉ đơn giản là chuyển hướng truy vấn của nạn nhân sang các trang tìm kiếm phổ biến như Yahoo hay Google. Tuy nhiên, trong quá trình này, thông tin của nạn nhân sẽ bị thu thập thông qua các pixel theo dõi (một công cụ giám sát hoạt động của người dùng trên trình duyệt).

Bên cạnh mục tiêu chèn quảng cáo, Fireball còn có khả năng theo dõi lưu lượng sử dụng web của nạn nhân, thực thi bất kỳ mã độc nào trên máy tính, cài đặt plugin và thậm chí là giảm hiệu quả phòng chống malware, một điều có thể tạo ra những lỗ hổng an ninh nghiêm trọng trong các hệ thống và mạng.

"Fireball cũng được trang bị những kỹ thuật nhằm tránh bị phát hiện một cách rất tinh vi như khả năng chống phát hiện, cấu trúc nhiều lớp và một C&C linh hoạt", các chuyên gia bảo mật cho biết.

Hiện tại, phần mềm quảng cáo Fireball đang lấy một phần lưu lượng truy cập web của nạn nhận để tăng truy cập vào các trang quảng cáo và tạo ra doanh thu. Đồng thời, Fireball cũng có khả năng cài đặt thêm các phần mềm độc hại khác nữa.

"Dựa vào tỉ lệ lây nhiễm theo tính toán của chúng tôi, 1/5 số công ty trên thế giới có thể sẽ bị ảnh hưởng trước chiến dịch phát tán của Fireball", các chuyên gia bảo mật cho biết.

Hiện nay, đã có 250 triệu máy tính trên toàn cầu bị nhiễm phần mềm độc hại Fireball và 20% trong số đó là hệ thống mạng của các công ty. Dưới đây là một số quốc gia đang có nhiều máy tính bị ảnh hưởng bởi Fireball:

-Ấn Độ có 25,3 triệu máy tính bị lấy nhiễm (10,1%).

-Brazil có 24,1 triệu máy tính bị lây nhiễm (9,6%).

-Mexico có 16,1 triệu máy tính bị lây nhiễm (6,4%).

-Indonesia có 13,1 triệu máy tính bị lây nhiễm (5,2%).

-Mỹ có 5,5 triệu máy tính bị lây nhiễm (2,2%).

"Vấn đề này nghiêm trọng đến mức nào? Hãy thử tưởng tượng một tên làm nghề phun thuốc trừ sâu được trang bị sức mạnh của một quả bom nguyên tử", các chuyên gia bảo mật nhấn mạnh, "Nhiều hacker đang thèm muốn một phần sức mạnh từ malware của Rafotech".

Dấu hiệu cảnh báo máy tính của bạn đã nhiễm malware Fireball?

Nếu câu trả lời của bất cứ câu hỏi nào dưới đây là "Không", điều đó có nghĩa là máy tính của bạn đã bị nhiễm Fireball hoặc phần mềm quảng cáo độc hại tương tự:

1. Bạn đã thiết lập trang chủ chưa?

2. Bạn có thể chỉnh sửa trang chủ của trình duyệt không?

3. Bạn có thấy quen thuộc với công cụ tìm kiếm mặc định trên trình duyệt của mình và cũng như có thể thay đổi nó không?

4. Bạn có nhớ là mình đã cài đặt tất cả phần mở rộng (extension) trên trình duyệt hay không?

Để gỡ bỏ các phần mềm quảng cáo độc hại, bạn chỉ cần gỡ bỏ ứng dụng tương ứng trên máy tính (hoặc sử dụng phần mềm dọn dẹp adware) và sau đó khôi phục hoặc reset cấu hình máy tính về mặc định.

Bạn cũng nên cẩn trọng khi cài đặt các phần mềm miễn phí vì các gói phần mềm thường bao gồm các cài đặt tùy chọn. Bạn hãy lựa chọn cài đặt tùy chỉnh và sau đó bỏ chọn bất cứ phần mềm nào bạn không có ý định cài đặt hoặc thấy không quen thuộc.

Nguyễn Long

Chủ đề khác