Loại mã độc đào tiền mới vừa xuất hiện trên Internet và chủ yếu lây lan qua mạng xã hội Facebook. Ngay trong ngày đầu lây lan, nhiều người dùng tại Việt Nam đã "dính bẫy" và con số nạn nhân có thể tiếp tục tăng lên.
Tin nhắn được gửi tới bạn bè của những người có máy tính bị nhiễm mã độc. |
Phương thức lan rộng của mã này không mới, nhưng đánh vào tâm lý tò mò của người dùng. Theo đó, người dùng sẽ nhận được các tên tin có tựa đề "video_XXXX.zip" (XXXX là 4 chữ số ngẫu nhiên) gửi qua trình nhắn tin Messenger của Facebook. Đây đều là các tin nhắn từ những người bạn trong danh sách Bạn bè trên Facebook nên đa phần người dùng không nghi ngờ mà tải tệp tin trên về. Nếu chỉ tải về máy và bỏ đấy, thiết bị vẫn an toàn, tuy nhiên nhiều người sẽ có xu hướng mở file ra để xem nội dung được gửi và động thái này đã "mở cửa" an ninh của máy tính để mã độc bắt đầu tấn công thiết bị.
Theo anh Lê Nguyên Khang, Trưởng phòng An Toàn Thông Tin VCCorp, loại virus này đánh vào tâm lý hiếu kỳ của người dùng khi nhận tập tin dạng video. "Mục đích chính của mã độc này là đào các loại tiền ảo vào lây được càng nhiều nạn nhân càng tốt", anh cho biết.
Mã độc được viết bằng ngôn ngữ AutoIT với các hàm chính đã làm rối để người phân tích khó có thể biết được chức năng của nó. Các chuyên gia sau đó cũng tìm ra mục đích lây lan và cách hoạt động của mã độc này.
Một trong số tài khoản của kẻ hưởng lợi từ mã độc đào tiền lây lan. |
Đầu tiên mã độc sẽ gửi thông tin về máy bị lây nhiễn đến địa chỉ định sẵn trong bộ mã, sau đó tự động tải và cài đặt một tiện ích mở rộng độc hại vào trình duyệt (Chrome) của máy tính. Chức năng của tiện ích trên là tiếp tục phát tán các mã độc đóng gói giả dạng video đến bạn bè của người có máy tính bị lây nhiễm. Bước tiếp theo, mã độc ghi các file cần thiết để chèn tiện ích trên vào nhiều thư mục trên máy.
Cuối cùng khởi động lại Chrome để tiện ích mở rộng thực thi và để lại trên máy tính nạn nhân một mã độc khác có tên "coin miner" (công cụ đào tiền) để đào các loại tiền ảo. Tuy không ghi dấu nhập liệu trên bàn phím hay đánh cắp thông tin, mã độc này vẫn có tác hại khi khiến máy luôn hoạt động trong tình trạng quá tải, giật lag... Tuổi thọ của thiết bị cũng giảm nhanh hơn do phải làm việc ở công suất cao liên tục.
Các chuyên gia bảo mật cảnh báo người dùng không tải và mở các tệp tin có định dạng như trên khi nhận tin nhắn Messenger từ bạn bè. Trường hợp đã mở file, người dùng cần sửa tập tin hosts (trên máy chạy Windows) và thêm hai dòng sau vào cuối file, sau đó lưu lại:
127.0.0.1 ojoku.bigih.bid
127.0.0.1 plugin.ojoku.bigih.bid
Tuy nhiên biện pháp này chỉ mang tính tạm thời bởi kẻ đứng sau loại mã tấn công này có thể nhanh chóng phát triển nó sang hình thức khác và thay đổi các địa chỉ truy cập nhằm trục lợi.