Cảnh báo: hơn 1 triệu máy tính nhiễm mã độc từ web lậu, nguy cơ mất tài khoản ngân hàng, đánh cắp thông tin cá nhân

[Dũng Đỗ]

Microsoft vừa phát đi cảnh báo khẩn cấp về một chiến dịch tấn công mạng quy mô lớn, sử dụng quảng cáo độc hại trên các trang web không hợp pháp (web lậu) để phát tán mã độc, lây nhiễm cho hơn một triệu máy tính và đánh cắp thông tin cá nhân của người dùng.

Quảng Cáo Độc Hại Trên Web Lậu: 'Cạm Bẫy' Chết Người

Theo BleepingComputer, chiến dịch tấn công này nhắm mục tiêu đến những người dùng truy cập vào các trang web phát trực tuyến trái phép, thường chứa nội dung vi phạm bản quyền. Tin tặc đã lợi dụng các quảng cáo trên những trang web này để chuyển hướng người xem đến các trang web chứa mã độc, được lưu trữ trên GitHub - một nền tảng vốn được các nhà phát triển phần mềm sử dụng để quản lý mã nguồn.

Cách Thức Tấn Công Tinh Vi, Nhiều Giai Đoạn

Quá trình lây nhiễm mã độc diễn ra theo nhiều giai đoạn:

1. Người dùng truy cập web lậu: Người dùng truy cập vào các trang web phát trực tuyến trái phép để xem phim, chương trình truyền hình, hoặc các nội dung vi phạm bản quyền khác.
2. Quảng cáo độc hại: Người dùng vô tình nhấp vào quảng cáo độc hại trên các trang web này.
3. Chuyển hướng đến trang chứa mã độc: Quảng cáo độc hại sẽ chuyển hướng người dùng đến các trang web chứa mã độc, thường được lưu trữ trên GitHub.
4. Tải về tệp tin độc hại: Người dùng bị lừa tải về các tệp tin độc hại (thường được ngụy trang dưới dạng phần mềm, crack, keygen...).
5. Mã độc giai đoạn 1: Khi tệp tin độc hại được thực thi, mã độc giai đoạn 1 sẽ thu thập thông tin hệ thống (hệ điều hành, độ phân giải màn hình, dung lượng bộ nhớ...) và gửi về máy chủ của tin tặc.
6. Mã độc giai đoạn 2: Dựa trên thông tin thu thập được, mã độc giai đoạn 2 sẽ được tải về và triển khai, thực hiện các hành vi độc hại khác nhau, tùy thuộc vào loại thiết bị và mục đích của tin tặc.

​

Các Loại Mã Độc Nguy Hiểm Được Sử Dụng

Trong một số trường hợp, tin tặc sử dụng:

• NetSupport: Phần mềm truy cập từ xa (RAT - Remote Access Trojan), cho phép tin tặc kiểm soát máy tính của nạn nhân từ xa.
• Lumma Stealer và Doenerium: Các phần mềm đánh cắp thông tin, có khả năng thu thập dữ liệu đăng nhập, thông tin tài khoản ngân hàng, ví tiền điện tử, và các thông tin nhạy cảm khác.

Trong các trường hợp khác, mã độc sẽ tải về một tệp tin thực thi, kích hoạt dòng lệnh CMD và cài đặt một công cụ AutoIt (được đổi tên với phần mở rộng ".com"). AutoIt sau đó sẽ thực hiện một chuỗi các lệnh, và cuối cùng chuyển sang giai đoạn đánh cắp dữ liệu.

Mã Độc 'Ẩn Mình' Trên GitHub, Dropbox, Discord

Phần lớn các tệp mã độc trong chiến dịch này được lưu trữ trên GitHub. Microsoft đã loại bỏ nhiều kho lưu trữ (repository) liên quan. Tuy nhiên, mã độc cũng được phát tán qua các nền tảng khác như Dropbox và Discord.

Microsoft chưa thể xác định chính xác nhóm tin tặc nào đứng sau chiến dịch tấn công này, nhưng đã tạm thời đặt tên cho chúng là Storm-0408. Nhóm này được biết đến với các phương thức phát tán mã độc tinh vi, như lừa đảo qua email, tối ưu hóa công cụ tìm kiếm (SEO) để đưa người dùng đến các trang web độc hại, và sử dụng quảng cáo độc hại.

Vụ việc này một lần nữa cho thấy nguy cơ tiềm ẩn từ việc truy cập các trang web không hợp pháp, đặc biệt là các trang web cung cấp nội dung vi phạm bản quyền. Người dùng cần nâng cao cảnh giác, không nhấp vào các quảng cáo đáng ngờ, không tải về các tệp tin từ các nguồn không tin cậy, và sử dụng phần mềm diệt virus để bảo vệ máy tính của mình.