Mã độc "video_xxx.zip" đang hoành hành trên Facebook

Thứ Tư, ngày 20/12/2017 15:10 PM (GMT+7)

Cục An toàn thông tin đã vào cuộc phân tích mã độc này.

Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), từ sáng 19/12, nhiều người dùng ứng dụng Facebook Messenger tại Việt Nam đã trở thành nạn nhân của một loại mã độc được cho là sử dụng để đào tiền ảo. Mã độc này lây lan bằng cách gửi đi một tập tin tên là video_xxx.zip (trong đó xxx là các số ngẫu nhiên). Đây là một tập tin nén, trong đó có chứa tập tin với định dạng mp4.exe, thực chất là tập tin thực thi của hệ điều hành Windows; tuy nhiên người dùng thông thường lại nhầm tưởng là tập tin video (mp4) nên dễ tin tưởng mở xem.

Qua phân tích kỹ thuật ban đầu, Cục An toàn thông tin phát hiện khi lây nhiễm vào máy tính người dùng, mã độc này sẽ tự động tải và cài đặt một số tập tin độc hại: 7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet.bid (với các mẫu mã độc khác nhau, tên miền này có thể thay đổi).

Mã độc "video_xxx.zip" đang hoành hành trên Facebook - 1

Mã độc tự động tải và cài đặt một số tập tin độc hại từ trang web yumuy.johet.bid.

Sau đó, mã độc sẽ sử dụng tập tin 7za.exe để giải nén ra tập tin file.7z, rồi cài đặt một tiện ích mở rộng (extension) độc hại vào trình duyệt Google Chrome. Đồng thời, mã độc này không cho người dùng truy cập vào phần quản lý tiện ích mở rộng của trình duyệt.

Mã độc "video_xxx.zip" đang hoành hành trên Facebook - 2

Một số tập tin nằm trong tập tin nén file.7z

Trong tập tin được giải nén có chứa các tập tin thực thi được cho là nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo. Thông qua các biện pháp kỹ thuật, Cục An toàn thông tin xác định tác giả của mẫu mã độc này có địa chỉ email nghi ngờ là *****@kadirgun.com.

Như vậy, những người dùng trình duyệt Chrome là đối tượng chính của mẫu mã độc này. Không loại trừ khả năng trong thời gian tới sẽ xuất hiện các mẫu mã độc nhằm vào các trình duyệt khác.

Nhằm bảo đảm an toàn thông tin và phòng tránh nguy cơ bị tấn công bởi mã độc, Cục An toàn thông tin khuyến nghị:

- Cảnh giác và không mở các tập tin hay đường dẫn lạ được gửi qua Facebook Messenger hay bất kỳ ứng dụng truyền thông nào khác (ví dụ: Viber, Zalo, thư điện tử,…).

- Nếu nhận được các thông tin (tập tin hoặc đường dẫn) lạ, có thể thông báo hoặc gửi thông tin về Cục An toàn thông tin để tổng hợp và phân tích, cảnh báo khi có những dấu hiệu, nguy cơ tấn công mạng mới.

- Đối với máy tính đã bị lây nhiễm, người dùng cần cài đặt và cập nhật các phần mềm phòng, chống mã độc, virus để phát hiện và ngăn chặn, loại bỏ mã độc.

Xuất hiện mã độc đòi... ảnh khỏa thân thay vì tiền chuộc

Thay vì dùng Bitcoin hay các loại tiền điện tử khác, mã độc mang tên nRansomware đòi nạn nhân phải gửi ảnh khỏa thân của...

Theo Ngọc Phạm (Dân Việt)

sự kiện Internet và những hiểm họa khôn lường