Một thời gian sau khi thu thập được một loạt các thư điện tử giả mạo FBI để phát tán W32.FakeFBIVariantovLT.Trojan, chúng tôi tiếp tục phát hiện một chiến dịch phát tán phần mềm lừa đảo mới, lần này là thông qua email giả mạo cảnh sát New York. Bức thư được gửi từ địa chỉ email có tên miền là nyc.gov, với nội dung thông báo về việc người nhận đã lái xe quá tốc độ vào lúc 7h25 sáng ngày 5/7.

“Để tự bào chữa, hãy in phiếu phạt được đính kèm và gửi tới tòa án thành phố, Po Box 117, Chatam Hall.”

Người nhận thậm chí có thể đã không có mặt tại New York vào thời điểm được nhắc đến trong email, nhưng vì muốn bào chữa cho mình, hoặc chỉ vì tò mò, họ vẫn mở tệp tin đính kèm này. Khi được giải nén, tệp tin có định dạng của file pdf. Đây thực chất là một trojan. Khi được chạy lên, trojan này sẽ kết nối đến nhiều địa chỉ khác nhau và tải về nhiều phần mềm độc hại, làm giảm mức độ an ninh của hệ thống.

Một trong những phần mềm độc hại này được Bkav nhận diện là W32.FakeHddRepair.Trojan.

Giống như W32.FakeFBIVariantovLT.Trojan, W32.FakeHddRepair.Trojan liên tục hiển thị các thông báo về lỗi ổ cứng:

Chương trình HDD Repair giả mạo được bật lên, tiến hành quét và cảnh báo các lỗi của ổ cứng. Để sửa được các lỗi này, người sử dụng cần phải bỏ ra một khoản tiền để kích hoạt phần mềm.

Kịch bản lừa đảo này đã trở nên tương đối quen thuộc: cảnh báo người dùng về những lỗi nghiêm trọng của hệ thống mà trên thực tế là không có thật, đưa ra một giao diện chương trình sửa các lỗi đó, với điều kiện phải trả tiền mua phần mềm. Tuy nhiên, nếu máy tính có chứa những dữ liệu quan trọng, sẽ không ít người chấp nhận bỏ ra một khoản tiền để “lấy lại” những dữ liệu đó.

Bkav khuyến cáo người sử dụng cần luôn cảnh giác trước các bức thư điện tử có tệp tin đính kèm. Đồng thời, để bảo vệ máy tính hữu hiệu và toàn diện nhất, bạn nên cài đặt một phần mềm diệt virus đủ mạnh, có bản quyền để được cập nhật mẫu nhận diện virus mới thường xuyên.

Nguyễn Hùng Phú – Bkav R&D

“Máy tính của bạn đã bị PHÁ HOẠI. Phần mềm diệt virus của bạn đâu rồi khi bạn cần dùng đến nó?….Hãy nhớ, bạn làm gì cũng vô ích thôi”. Đây là “thông điệp” gửi từ một loại virus mới do hệ thống HoneyPot của chúng tôi thu thập được trong thời gian gần đây.

Nội dung “thông điệp” của virus

Một khi hệ thống đã bị nhiễm virus này (Bkav nhận diện với tên W32.DownloadWinsLnr.Trojan), thư mục Windows sẽ bị khóa. Khi đó, người dùng sẽ không thể truy cập vào thư mục Windows, thậm chí các chương trình diệt virus cũng không thể quét và phát hiện virus ẩn náu trong đó khi chạy ở mức User mode.

Thật ra, kỹ thuật mà DownloadWinsLnr sử dụng rất đơn giản. Virus chỉ cần phân quyền cho thư mục Windows, cấm tất cả các quyền truy cập đối với thư mục này. Tất nhiên ổ đĩa hệ thống phải có định dạng NTFS.

Tuy nhiên, điều mà tác giả của virus này đã không lường tới là: Kernel mode không bị chi phối bởi hành động phân quyền này, và hầu hết các chương trình diệt virus đều có module hoạt động ở mức Kernel. Do đó, một khi mẫu virus đã được nhận diện, các phần mềm diệt virus sẽ dễ dàng gỡ bỏ nó ra khỏi hệ thống, mặc dù hậu quả để lại là thư mục Windows vẫn không thể truy cập được theo cách thông thường. Nhưng bạn đừng bận tâm, gặp tình huống này, hãy sử dụng công cụ dưới đây để đưa hệ thống về trạng thái trước khi bị nhiễm DownloadWinsLnr.

Download công cụ

Đỗ Khắc Cành – Bkav R&D

Bạn đã bao giờ truy cập vào địa chỉ faceboook.com chưa? Nếu chỉ nhìn thoáng qua, rất có thể bạn sẽ nhầm tưởng đó là tên miền của mạng xã hội phổ biến nhất hiện nay – Facebook. Tuy nhiên, để ý kỹ hơn, bạn sẽ thấy sự khác biệt: chữ “book” đã bị thay thế bởi chữ “boook”. Với một số lượng người dùng khổng lồ của facebook, tỷ lệ người gõ nhầm không phải nhỏ. Lợi dụng điều đó, hacker đã đăng ký các domain giả mạo những website phổ biến, được nhiều người truy cập, và thực hiện những kịch bản nhằm lừa tiền người sử dụng.

Kịch bản diễn ra như sau: người sử dụng gõ nhầm địa chỉ “faceboook.com” và bị trỏ sang một trang web có giao diện mang phong cách facebook. Tại đây, họ sẽ thấy một thông báo: “Chúc mừng ! Bạn được chọn là người chiến thắng của ngày hôm nay ở khu vực Hà Nội (địa danh này thay đổi tùy theo IP của người sử dụng). Hãy chọn một trong các giải thưởng sau để có cơ hội chiến thắng.”  Và giải thưởng được đưa ra là: iPhone 4, Macbook Air hoặc iPad, kèm theo thông tin về số lượng còn lại.

Hình 1 : Trình duyệt chuyển hướng tới một trang khác khi người sử dụng truy cập nhầm vào faceboook.com

Hình 2 : Trình duyệt chuyển hướng tới một trang khác khi người sử dụng truy cập nhầm vào trang gmial.com

Tuy nhiên, để “có thể” nhận được phần quà này, bạn phải trả lời một số câu hỏi sau đó gửi tin nhắn điện thoại về tổng đài do hacker cung cấp. Và dĩ nhiên tin nhắn đó không hề miễn phí, bạn sẽ mất một khoản tiền không nhỏ trong tài khoản.

Hình 3 : Hướng dẫn nhắn tin

Dựa vào IP của người sử dụng, hacker có thể xác định người “gõ nhầm”  ở quốc gia nào, và áp dụng một kịch bản lừa đảo tương ứng, như việc thay đổi địa danh của người “trúng thưởng”. Điều này cho thấy hacker có sự đầu tư không nhỏ vào chiến dịch này và đã gây dựng được mạng lưới lừa đảo ở nhiều nước trên thế giới.

Theo tìm hiểu của tôi, trong chiến dịch này, hacker đã đăng ký giả mạo rất nhiều domain “nổi tiếng”, nhiều người truy như:

Nếu bạn biết thêm domain giả mạo nào mới, hãy thông báo cho chúng tôi.

Với một chiến dịch quy mô rộng như vậy, số lượng người vô tình gõ nhầm domain và bị chuyển hướng sang trang lừa đảo tính cho đến thời điểm hiện tại là khá lớn:

Hình 4 : Chỉ sau hơn 1 tuần đăng ký domain giả, lưu lượng truy cập của các trang lừa đảo đã đạt con số đáng báo động (nguồn Alexa.com)

Để tránh rơi vào bẫy của kẻ xấu, bạn nên kiểm tra lại domain nếu thấy nội dung hiển thị khác so với những lần truy cập trước.

Bkav R&D

Gần đây, xuất hiện rất nhiều các thông báo spam có nội dung liên quan đến việc kích hoạt nút Dislike của Facebook, mạng xã hội lớn nhất hiện nay. “Facebook vừa có thêm nút Dislike! Bấm vào dòng chữ “Activate Dislike Button” bên dưới để kích hoạt trên tường của bạn”! Với những tin nhắn lừa đảo này, lợi dụng mong muốn của người sử dụng về nút Dislike trên Facebook, hacker có thể chiếm quyền điều khiển tài khoản để tiếp tục phát tán các tin nhắn spam đến Facebook bạn bè của nạn nhân.

Nội dung thông báo spam

Khi người sử dụng bấm vào dòng chữ “Activate Dislike Button”, trình duyệt sẽ bị chuyển hướng đến trang http://lnktrn.ch/dislike chứa yêu cầu giả mạo từ Facebook. Tại đây, người dùng được hướng dẫn sao chép một đoạn mã và thực thi đoạn mã đó trên trình duyệt để kích hoạt nút “Dislike”.

Giả mạo yêu cầu của Facebook

Thực chất, đây là một đoạn mã Javascript được mã hóa. Sau khi phân tích đoạn mã này, chúng tôi phát hiện ra rằng đoạn mã có chức năng gửi tin nhắn spam đến các bạn bè trên Facebook của người sử dụng, với nội dung: “Facebook just <keyword>  dislike button! Click <onword>  ‘Activate Dislike Button’ below to enable it on your <apterm> !”; trong đó <keyword> là một cụm từ ngẫu nhiên trong số: “added the”, “launched”, “released the”, <onword> là một từ ngẫu nhiên trong số: “on”, “On”, và <apterm> là một từ ngẫu nhiên trong số: “profile”, “account”.

Đoạn mã phát tán spam

Sau khi đoạn mã được thực thi, tài khoản Facebook của người dùng sẽ được sử dụng để phát tán các tin nhắn spam tương tự:

Sau đó, người dùng sẽ được yêu cầu xác thực tài khoản, một yêu cầu giả mạo khác, để kích hoạt nút “Dislike”.

Yêu cầu xác thực tài khoản giả mạo

Khi bấm vào nút “Continue”, người sử dụng được chuyển đến trang http://lnktrn.ch/dislike/dislikebutton.php có nội dung như một trang xác thực tài khoản của Facebook. Sau khi phân tích, chúng tôi nhận thấy trang web này thực thi một đoạn mã flash. Tuy nhiên, do có một số lỗi nên đoạn flash này không hiển thị được. Có thể đó là một bảng thông báo để lừa người dùng đăng nhập bằng tài khoản Facebook của mình.

Nội dung trang http://lnktrn.ch/dislike/dislikebutton.php

Mặc dù hiện nay chưa có dấu hiệu về việc phát tán malware qua các tin nhắn spam này, tuy nhiên về lý thuyết các hành vi phát tán malware hoàn toàn có thể thực hiện được với đoạn Javascript đã nêu. Hệ thống HoneyPot của chúng tôi vẫn đang tiếp tục theo dõi và kiểm soát hành vi lừa đảo này.

Để đảm bảo an toàn cho tài khoản của mình, người sử dụng không nên bấm vào các đường link ở các thông báo tương tự, và chỉ nên tin tưởng những thông báo về các tính năng mới  từ website chính thức của Facebook.

Trần Minh Quảng – Bkav R&D

Gần đây, hệ thống HoneyPot của chúng tôi thu thập được một loạt email giả mạo FBI (được gửi từ địa chỉ info40121@fbi.gov) với nội dung đe dọa, yêu cầu người nhận mở file đính kèm để trả lời một số câu hỏi.

Nội dung email

Khi người sử dụng mở file đính kèm (thực chất là một loại trojan được Bkav nhận diện với tên W32.FakeFBIVariantovLT.Trojan), chương trình sẽ kết nối đến địa chỉ http://vari[removed]tov.com/pusk.exe để download và thực thi một malware khác.

Sau khi lây nhiễm vào hệ thống, malware này sẽ liên tục cho hiện các thông báo lỗi ổ đĩa cứng:

Hàng loạt lỗi về phần cứng được cảnh báo

Theo như những cảnh báo này, có vẻ hệ thống đang ở trong tình trạng rất tồi tệ, nguy cơ mất mát dữ liệu hiển hiện ngay trước mắt. Tuy nhiên, ngay lập tức “người hùng” WindowsRecovery xuất hiện, giúp khắc phục những lỗi về phần cứng đang được cảnh báo và khôi phục những dữ liệu quan trọng.

Giao diện “người hùng” WindowsRecovery

Tuy nhiên, người dùng phải trả một khoản phí để mua bản quyền của phần mềm này.

Truy cập domain giả mạo windows-recovery.com với IE giả mạo

Nếu người sử dụng làm theo những hướng dẫn của chương trình, họ sẽ trở thành nạn nhân của hacker và mất đi một khoản tiền không nhỏ. Kịch bản lừa đảo này rất giống với FakeAV – dòng virus đang hoành hành trong thời gian gần đây, chỉ khác là lần này chúng giả mạo phần mềm khôi phục dữ liệu và đưa ra các cảnh báo lỗi phần cứng chứ không nhẹ nhàng là lỗi phần mềm như trước nữa.

Kẻ xấu phải liên tục thay đổi phương thức, kịch bản lừa đảo như vậy bởi vì ý thức của người sử dụng đã được nâng cao rõ rệt nhờ những cảnh báo kịp thời của các công ty an ninh mạng. Tuy nhiên, để bảo vệ máy tính một cách toàn diện và hiệu quả nhất bạn nên sử dụng một phần mềm diệt virus có bản quyền và được cập nhật thường xuyên.

Nguyễn Văn Long – Bkav R&D