Coi chừng lây nhiễm mã độc từ thông báo dịch bệnh Covid-19 giả WHO của hacker

Lợi dụng thông báo Covid-19 của WHO để trục lợi

Một cuộc tấn công mạng mới lại diễn ra khi tin tặc chiếm quyền cài đặt DNS của router để đánh cắp thông tin người dùng.

Theo phản ánh từ những nạn nhân đã bị nhiễm loại mã độc mới có tên là Vidar, trình duyệt web tự hiển thị trang thông tin giả của Tổ chức Y tế Thế giới (WHO), yêu cầu tải phần mềm hoặc ứng dụng thông tin và chỉ dẫn về virus Covid-19.

 Cuộc tấn công mạng mới này chỉ mới diễn ra trong khoảng 5 – 6 ngày gần đây, người dùng nên cẩn thận để tránh thành nạn nhân tiếp theo.

Theo nghiên cứu sâu hơn từ các chuyên gia, router dùng cho gia đình của hãng D-Link hoặc Linksys là đối tượng trong cuộc tấn công phát tán mã độc mới này.

Vì hầu hết máy tính sẽ sử dụng IP và DNS măc định của các router, nên tin tặc có thể dễ dàng điều khiển nạn nhân truy cập vào hệ thống đã bị nhiễm mã độc và trục lợi từ việc đánh cắp thông tin người dùng.

Vào thời điểm này, vẫn chưa rõ nguyên nhân hacker có quyền truy cập vào router để thay đổi cấu hình hệ thống DNS. Một số người dùng cho biết họ có bật chức năng điều khiển từ xa của router và password truy cập router lại không tuân theo quy tắc mật khẩu mạnh.  

Nếu hacker xâm nhập thành công router, chúng sẽ thay đổi DNS, và những máy tính kết nối với router sẽ tuân theo DNS này trong việc lây lan mã độc mới.

Khi máy tính kết nối Internet, Microsoft sẽ bật tính năng gọi là ''Network Connectivity Status Indicator (NCSI)", để chạy định kỳ các đầu dò kiểm tra trạng thái kết nối mạng .

Trong Windows 10, một trong những thăm dò hoạt động này sẽ được kết nối với trang web http://www.msftconnecttest.com/connecttest.txt và kiểm tra xem nội dung được trả về có chứa chuỗi 'Microsoft Connect Test' hay không.

Nếu có, máy tính được cho kết nối với Internet và nếu không, Windows sẽ cảnh báo rằng Internet không thể truy cập được.

Đối với máy tính của nạn nhân, khi Windows thực hiện đầu dò NCSI này, tin tặc sẽ kết nối với địa chỉ IP khác, ngoài Microsoft, và hiển thị yêu cầu tải xuống phần mềm hoặc ứng dụng về thông tin khẩn của Covid-19 từ WHO giả mạo.

Đang trong thời điểm nhạy cảm nên hầu như người dùng sẽ dễ dàng mắc bẫy của hacker và sẽ bị lây nhiễm mã độc Vidar.

Loại mã độc này sẽ đánh cắp các thông tin như cookie, lịch sử duyệt web, thông tin thẻ ngân hàng, thông tin đăng nhập, ví tiền điện tử, thông tin tự điền (autofill), cơ sở dữ liệu chứng thực Authy 2FA, ảnh chụp màn hình desktop tại thời điểm lây nhiễm…

Những thông tin này sau đó sẽ được chuyển về server từ xa của tin tặc để trục lợi trong tương lai.

Khuyến cáo người dùng nếu bị lây nhiễm mã độc từ thông báo Covid-19 giả mạo

Nếu trình duyệt web tự ý hiển thị trang thông tin về Covid-19, người dùng nên lập tức đóng nó lại và truy cập vào router của mình để thay đổi cấu hình DNS. Nếu không am hiểu, có thể yêu cầu nhân viên nhà mạng hỗ trợ.

Người dùng cũng nên sử dụng phần mềm diệt virus trong thời điểm này để đảm bảo an toàn khi truy cập các website.

Ngoài ra, việc tuân theo quy tắc mật khẩu mạnh khi đặt cho tài khoản admin của router để bảo mật tốt hơn cũng khá cần thiết. 

Bên cạnh đó, hãy thay đổi mật khẩu của các tài khoản quan trọng và tốt nhất nên sử dụng password khác nhau để không thể bị hack một cách dễ dàng.