Vừa qua, hệ thống HoneyPot của Bkis đã phát hiện ra một đợt tấn công lừa đảo mới, với đích nhắm là Twitter – một trong những mạng xã hộ ảo phổ biến nhất thế giới hiện nay. Hacker giả danh đội ngũ hỗ trợ của Twitter, phát tán email lừa đảo liên quan đến vấn đề nhạy cảm mà hầu như ai cũng quan tâm đó là “mất mật khẩu”.

Chỉ bằng thủ thuật đơn giản, hacker đã che giấu link độc chứa virus dưới vỏ bọc của một đường link chuẩn đến Twitter. Nhìn vào link này, người dùng càng tin tưởng hơn vào nội dung của email. Tuy nhiên, thực chất khi người sử dụng bấm vào link này, họ sẽ bị chuyển đến link độc có chứa virus :

Ảnh 1 : Nội dung mail lừa đảo và đường link dẫn đến virus

Sau khi “vô tình” tải file của virus về và chạy lên, virus này (Bkav nhận diện với tên W32.TwittFake.Trojan) sẽ liên tục hiện lên các cảnh báo giả về việc có kẻ đang xâm nhập trái phép vào máy tính của người dùng để lấy cắp thông tin cá nhân, và yêu cầu người sử dụng bấm vào bảng cảnh báo để ngăn chặn việc này.

Ảnh 2 : Nội dung cảnh báo giả

Nếu người sử dụng cả tin và bấm vào cảnh báo này, dĩ nhiên thay vì tải về phần mềm bảo vệ hệ thống, người dùng sẽ nhận được Fake AV – một dòng virus mà các hacker chuyên dùng để lừa đảo kiếm tiền:

Ảnh 3,4 : Fake AV

Sau khi phân tích, chúng tôi thấy rằng virus này thực hiện khá nhiều hành vi nguy hiểm :

- Sao chép bản thân thành file có tên “mscdexnt.exe” vào thư mục %Temp%
- Dump ra các file : %Temp% / kernel64xp.dll; %Temp% / wscsvc32.exe
- Ghi key để chạy file của virus khi bất kì một file .exe nào được kích hoạt
- Ghi key để tắt tính năng Task Manager của Windows
- Cài đặt backdoor, nhận và thực thi lệnh của hacker
- Định kì hiện lên các cảnh báo giả về hệ thống, khi bấm vào virus sẽ tự động download và cài đặt FakeAV
- Tải FakeAV và mã độc từ các link :

• http://find[removed]id.org/any/396-direct.ex
• http:// find[removed]id.org/any/139-direct.ex
• ….

Có thể nói, đây là một kịch bản được hacker tính toán khá kĩ lưỡng hòng lừa đảo sau đó moi tiền của người dùng. Trong thực tế, những kịch bản như thế này được hacker sử dụng khá hiệu quả, bởi ý thức cảnh giác của người sử dụng chưa cao đối với các nguồn tin đến từ Internet. Một lần nữa, chúng tôi khuyến cáo người sử dụng: khi nhận được những thông tin dạng này, hãy kiểm tra kĩ nguồn gốc thông tin, đồng thời thường xuyên cập nhật phiên bản mới nhất của chương trình Antivirus trên máy.

Bkis Security

Trackback URI | Comments RSS