Theo một bài đăng trên blog từ công ty an ninh mạng Cyble, tin tặc đã bắt đầu sử dụng các trang lừa đảo được thiết kế để mạo danh một số ứng dụng phổ biến trực tuyến. Mặc dù người dùng có thể cho rằng họ đang tải xuống một ứng dụng được sử dụng rộng rãi nhưng thực ra họ đang vô tình cài đặt phần mềm độc hại trên máy tính của mình.
Vào ngày 16/1, các nhà nghiên cứu của công ty đã phát hiện ra một trang web lừa đảo mạo danh một ứng dụng trò chuyện phổ biến. Ngay ngày hôm sau, trang web lừa đảo tương tự đã được chuyển đổi để bắt chước trang web của công cụ điều khiển máy tính từ xa TeamViewer. Điều này cho thấy tin tặc đứng sau chiến dịch đang tích cực thay đổi và tùy chỉnh các trang web lừa đảo của chúng để nhắm mục tiêu vào một số ứng dụng phổ biến.
Sau khi người dùng nhấp vào nút tải xuống trên các trang web lừa đảo này, phần mềm độc hại có tên “messenger.exe” và “teamviewer.exe” sẽ được tải xuống PC của họ.
Tuy nhiên, tin tặc đứng sau chiến dịch này đang sử dụng một thủ thuật thông minh để qua mặt những phần mềm chống virus tốt nhất: chúng thêm số 0 vào các bản tải xuống này để tăng kích thước tệp của chúng. Điều này giúp các tệp hại của chúng vượt qua kiểm tra bảo mật vì phần mềm lớn hơn có thể khó phát hiện hơn đối với phần mềm chống virus.
Phần mềm độc hại Aurora
Trong trường hợp này, phần mềm độc hại đang được phát tán là Aurora infostealer. Đúng như tên gọi, nó có thể thu thập tất cả các loại dữ liệu nhạy cảm từ trình duyệt, tiện ích mở rộng trình duyệt, ví tiền điện tử và thư mục người dùng trên máy bị nhiễm. Đáng ngạc nhiên, phần mềm độc hại cũng có thể trích xuất dữ liệu từ Telegram nếu người dùng đã cài đặt ứng dụng dành cho máy tính để bàn.
Sau khi tất cả thông tin nhạy cảm này, bao gồm cả mật khẩu được Aurora thu thập, nó sẽ được lưu ở định dạng JSON, được nén bằng GZIP và được chuyển đổi thành định dạng mã hóa Base64 trước khi gửi đến máy chủ Command-and-Control (C&C) do Aurora kiểm soát.
Với cookie, lịch sử duyệt web, dữ liệu đăng nhập và dữ liệu web của người dùng trong tay, kẻ tấn công có thể thực hiện hành vi lừa đảo, rút tài khoản ngân hàng của người dùng hoặc thậm chí thực hiện hành vi trộm cắp danh tính.
Mặc dù ban đầu, hậu quả của việc tải xuống một ứng dụng giả mạo là phần mềm độc hại có thể không rõ ràng, nhưng điều này có thể khiến mọi thứ trở nên tồi tệ hơn vì những người đã bị nhiễm có thể chưa phát hiện ran gay và vẫn tiếp tục các thao tác như bình thường. Trong khi đó, tin tặc sẽ tiếp tục thu thập dữ liệu cá nhân và nhạy cảm từ máy tính bị nhiễm độc của họ.
Cách giữ an toàn khỏi phần mềm độc hại ẩn trong các bản tải xuống ứng dụng
Những người dùng cả tin có xu hướng truy cập vào các trang web lừa đảo này trong trường hợp họ nhấp vào các quảng cáo giả mạo đã bắt đầu xuất hiện thường xuyên trong các công cụ tìm kiếm. Do đó, việc cài đặt một trong những trình chặn quảng cáo tốt nhất có thể ngăn bạn nhìn thấy chúng.
Điều đó có nghĩa là bạn sẽ ít có khả năng truy cập vào một trong những trang lừa đảo này ngay từ đầu. Trên thực tế, ngay cả FBI hiện cũng khuyến nghị sử dụng trình chặn quảng cáo.
Đồng thời, bạn cũng cần cực kỳ cẩn thận khi tải xuống phần mềm mới trên cả điện thoại thông minh và máy tính. Bạn phải luôn kiểm tra để đảm bảo rằng bạn đang truy cập trang web chính thức của công ty trước khi nhấp vào tải xuống.
Kéo xuống nhiều hơn khi xem kết quả tìm kiếm là một cách hay để đảm bảo bạn truy cập đúng trang web vì tin tặc đã mạo danh GIMP, Notepad++ và các ứng dụng phổ biến khác trong quá khứ và có khả năng sẽ tiếp tục làm như vậy.
Mặc dù chắc chắn bạn nên sử dụng phần mềm chống virus trên máy tính và một trong những ứng dụng chống virus Android tốt nhất trên điện thoại thông minh Android của mình, nhưng bạn cũng có thể cân nhắc nâng cấp lên một trong những gói bảo mật internet có trả phí cao cấp hơn.
Các gói cao cấp này không chỉ cung cấp khả năng bảo vệ chống virus mà còn thường bao gồm trình quản lý mật khẩu, VPN và tường lửa để giúp bạn được bảo vệ tốt hơn khỏi mọi mối đe dọa trực tuyến.
Warning: mysqli_connect(): (HY000/2002): Connection refused in /home/dev/conglyxahoi