Cục An toàn thông tin khuyến cáo về mã độc đào tiền ảo qua Messenger

Thứ tư, 20/12/2017 09:52:00 | Sản phẩm số
Mã độc này lây lan bằng cách gửi một tập tin tên là video_xxx.zip (trong đó xxx là các số ngẫu nhiên), đây là một tập tin nén trong đó có chứa tập tin với định dạng mp4.exe, thực chất là tập tin thực thi của hệ điều hành Windows.

Cục An toàn thông tin khuyến cáo về mã độc đào tiền ảo qua Messenger

Ảnh chỉ có tính minh họa. (Nguồn: cyberdefensemagazine.com).

Như tin đã đưa, ngày 19/12, nhiều người dùng Facebook Messenger tại Việt Nam tá hỏa vì máy tính chậm chạp sau khi click vào một tệp tin video được bạn mình gửi tới.

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) cho biết, đơn vị này đã ra văn bản hướng dẫn biện pháp phòng, chống mã độc lây lan thông qua Facebook Messenger tại Việt Nam.

Công văn số 683/CATTT-TĐQLGS do Phó Cục trưởng Nguyễn Huy Dũng ký nêu rõ, nhiều người dùng sử dụng ứng dụng Facebook Messenger tại Việt Nam đã trở thành nạn nhân của một loại mã độc được cho là sử dụng để đào tiền ảo. 

Cụ thể, mã độc này lây lan bằng cách gửi một tập tin tên là video_xxx.zip (trong đó xxx là các số ngẫu nhiên). Đây là một tập tin nén trong đó có chứa tập tin với định dạng mp4.exe, thực chất là tập tin thực thi của hệ điều hành Windows. Tuy nhiên người dùng thông thường nhầm tưởng là tập tin Video (mp4) nên mở tập tin. 

Qua phân tích kỹ thuật ban đầu của Cục An toàn thông tin, loại mã độc này khi lây nhiễm vào máy tính sẽ tự động tải và cài đặt một số tập tin độc hại 7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet.bid (với các mẫu mã độc khác nhau, tên miền này có thể thay đổi).

Mã độc sẽ sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó lấy tiện ích mở rộng (extension) độc hại và tự động cài đặt tiện ích mở rộng này này vào trình duyệt Chrome. Mã độc này cũng không cho người dùng truy cập vào phần quản lý tiện ích mở rộng của trình duyệt. Trong tập tin được giải nén có chứa các tập tin thực thi được cho là sử dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo. 

Thông qua các biện pháp kỹ thuật, các chuyên gia nhận định tác giả của mẫu mã độc này có thể đang sử dụng địa chỉ email có tên miền là kadirgun.com.

Hiện, những người dùng trình duyệt Chrome là đối tượng chính của mẫu mã độc này. Không loại trừ khả năng trong thời gian tới sẽ xuất hiện các mẫu mã độc nhằm vào các trình duyệt khác.

Phía Cục An toàn thông tin cũng khuyến nghị người dùng không mở các tập tin hay đường dẫn lạ được gửi qua Facebook Messenger hay bất kỳ ứng dụng truyền thông nào khác (Viber, Zalo, email…).

Trong trường hợp nhận được các thông tin (tập tin hoặc đường dẫn) lạ, có thể thông báo hoặc gửi thông tin về Cục An toàn thông tin để tổng hợp và phân tích, cảnh báo khi có những dấu hiệu, nguy cơ tấn công mạng mới.

Ngoài ra, người dùng đã bị lây nhiễm cần cài đặt và cập nhật các phần mềm phòng, chống mã độc, virus để phát hiện và ngăn chặn, loại bỏ mã độc này.

PV (theo Vietnamplus)

Tin cùng chuyên mục

Tin mới