Mã độc "bắt cóc dữ liệu" giả dạng Google và Facebook

January 20, 2016

Loại mã độc khóa dữ liệu của người dùng, đòi tiền chuộc (ransomware) CTB-Locker giả dạng thành bản cập nhật bảo mật trình duyệt Google Chrome. Cảnh giác!

Các chuyên gia Hãng bảo mật Trend Micro khuyến cáo người dùng trình duyệt web Google Chrome cần cảnh giác với mánh lừa mới của tội phạm mạng nhằm lây nhiễm mã độc “bắt cóc dữ liệu” (ransomware). 

Cụ thể, một số email lừa đảo ngụy trang thành một bản cập nhật bảo mật (security update) của Chrome nhưng thực chất được sử dụng để cài đặt mã độc. Các email này với dòng tiêu đề “Google Chrome Security”, mạo danh được gửi đến từ Trung Tâm Bảo Mật Của Google (Google Security Center).

Khi người dùng nhấn vào liên kết (link) trong email, họ bị chuyển đến một trang web có chứa phần mềm độc hại, trông như một gói cài đặt hợp pháp “ẩn mình” trong lớp biểu tượng Google Chrome. Phần mềm độc hại này được Trend Micro xác định là file TROJ_CRYPCTB.YUX.

Được gọi là CTB-Locker, mã độc này mã hóa các tập tin của nạn nhân, yêu cầu phải trả một khoản tiền trị giá 500 – 600 USD dưới dạng tiền kỹ thuật số Bitcoin (BTC) để “chuộc” lại các tập tin của họ, và phải thanh toán trong vòng 96 giờ. Khi thời hạn kết thúc, chìa khóa giải mã sẽ bị hủy khỏi máy chủ của kẻ tấn công và việc phục hồi các tập tin này sau đó là không thể.

Điều quan trọng cần lưu ý ở đây với người dùng là trình duyệt Chrome được Google thiết lập tự động cập nhật phiên bản mới. Không cần có thao tác bấm vào liên kết trong một email để cập nhật trình duyệt này.

Nhắm tới người dùng Facebook

Hãng bảo mật Trend Micro cho biết thêm, ransomware CTB-Locker còn đang nhắm mục tiêu đến những người dùng Facebook.

Một email mạo danh gửi từ Facebook, tuyên bố rằng tài khoản mạng xã hội của người dùng đã tạm thời bị khóa, đánh đúng vào yếu tố “thời sự” và tâm lý hoang mang của người dùng.

Tương tự, người sử dụng Facebook bị yêu cầu nhấp vào một liên kết được kèm theo (embedded link). Nhấp vào liên kết này sẽ tải xuống một phần mềm độc hại, là file TROJ_CRYPCTB.NSA, ngụy trang như một tập tin hợp pháp giả dạng bằng biểu tượng tập tin văn bản .PDF.

Các nhà nghiên cứu tại Trend Micro phát hiện rằng CTB-Locker được lưu trữ trên các trang web bị hack. Không chỉ vậy, các trang web này liên kết với chỉ một địa chỉ mạng (IP).

Tiếp tục nghiên cứu sâu hơn cho thấy, một số các địa chỉ trang web này có liên quan đến một chiến dịch lừa đảo khác trên dịch vụ thanh toán Paypal. Email lừa đảo này có tiêu đề “Take Action PayPal” lừa người dùng Paypal đăng nhập vào tài khoản của mình, giải quyết sự cố bằng cách nhấn vào một liên kết trong email.

(Nguồn: TuoiTre.vn)