[Phân tích] Trang Corona-Virus-Map phát tán Spyware bằng cách nào

March 18, 2020

Như các bài trước có đưa tin, trong giai đoạn đại dịch Corona bùng phát, vô số tin tặc đã lợi dụng sự kiện này để phát tán Spyware nhầm trục lợi cá nhân. Nổi bật nhất là website: Corona-Virus-Map.

Chúng ta cùng tìm hiểu xem trang này là gì và phát tán Virus như thế nào.

Website: Corona-Virus-Map có gì?

Trước tiên cần phân biệt rõ website Corona-Virus-Map (gọi tắt CVM) là một dạng Web Application, Web ứng dụng tương tác. Khác với Website thông thường Web App mục đích là giúp người dùng có thể tương tác trực tiếp với Database và có UX/UI tương tự như các Website khác. Tuy nhiên, Web App sẽ yêu cầu truy cập vào phần cứng máy để cho bạn có trải nghiệm tốt nhất.

Hiển thị trên CVM là thống kê, bản đồ, đồ thị về số người nhiễm Corona theo quốc gia và hiển thị trên Bản đồ thế giới. Nhìn chung Website Corona tạo một cảm giác rất chuyên nghiệp và “an toàn”. Tuy nhiên khi truy cập vào CVM, người dùng ngay lập tức bị đẩy trojan vào máy và con Trojan được sử dụng là AZORult.

AZORult tác động thế nào?

  1. AZORult sẽ tìm cách chiếm quyền điều khiển Trình Duyệt và đọc các thông tin về tài khoản và mật khẩu lưu trong trình duyệt (Ai dùng Chrome thường chắc cũng biết vụ này);
  2. Email khi bạn dùng trình duyệt để xem Web Mail;
  3. Giao thức FTP để quản lý website;
  4. Giao thức nhắn tin XMPP;
  5. Một số biến thể hộ AZORult còn có thể chụp ảnh màn hình của bạn;

Có thể thấy rằng AZORult sẽ theo dõi và ghi lại tất cả những hoạt động Internet của bạn gồm cả việc: lướt Web, đọc Email, Tin nhắn, Mua sắm v.v… và hãy tượng tượng khi bạn mua hàng và thanh toán Online khi máy tính bị nhiễm AZORult thì 100% là mất tiền nhé.

Thông tin chi tiết về AZORult

Tên Corona-Virus-Map.com virus
Phân loạiTrojan, Virus ăn cặp mật khẩu, Malware Banking, Spyware
Phần mềm phòng chốngMcAfee, Avast, BitDefender, Kaspersky…
Tên hiển thị trong Task Manager WindowsFormsApp2  (Tên có thể bị thay đổi)
HọAZORult
Họ hiển thị trong Task Manager Журналы и оповещения производительности.exe (Tên có thể bị thay đổi)
Khả năng tìm đượcTrojan này được viết chạy ẩn và tránh được các công cụ tìm kiếm tích hợp
Phương pháp phát tánTập tin đính kèm Email, Quảng cáo trực tuyến tương tác (Web App), Mạng xã hội, Phần mềm Crack
Tác hạiĂn cắp mật khẩu và Tài khoản ngân hàng, Ăn cắp thông tin người dùng, Nguồn phát tán Virus

Tham khảo một vài “bé” tương tự: Buerak, Legion Loader, Conteban, Lampion, KBOT, CryptBot

Trong thời gian chờ chúng tôi đăng giải pháp xoá hoàn toàn Virus AZORult, bạn có thể dùng các phần mềm mà chúng tôi đề nghị để ngăn chăn tác hại của Virus.

Biên tập viên DSH