Vâng, một phát hiện có thể làm "chấn động giới FA toàn cầu". Mới đây, các nhà nghiên cứu bảo mật - an ninh mạng đến từ công ty phát triển phần mềm chống virus ESET đã phát hiện ra một phần mềm độc hại mới, phân phối dưới hình thức email spam, tương đối “thú vị”, ở chỗ bên cạnh khả năng đánh cắp dữ liệu người dùng như mật khẩu và thông tin tài chính cá nhân lưu trữ trên thiết bị, mã độc này còn được trang bị tính năng ghi lại màn hình của nạn nhân bất cứ khi nào họ xem nội dung khiêu dâm trên các trang web người lớn.
Virus này được gọi là Varenyky và nó là một doozy (loại mã độc bất thường). Theo phân tích của các nhà nghiên cứu, mã độc này ban đầu chỉ được thiết kế để nhắm đến một mục tiêu riêng lẻ, đó là các khách hàng của tập đoàn viễn thông Pháp Orange S.A - đây có thể là một phần của chiến dịch cạnh tranh không lành mạnh nào đó nhắm vào tập đoàn viễn thông khổng lồ này. Tuy nhiên nhóm nghiên cứu cũng đã phát hiện ra rằng không gì có thể ngăn cản một cá nhân nào đó sử dụng phần mềm độc hại này và nhắm mục tiêu đến những tổ chức, cá nhân khác, hoặc thậm chí cho lan truyền mã độc trên diện rộng.
Varenyky ban đầu được thiết kế để nhắm vào các khách hàng của Orange S.A
Mã độc Varenyky sở hữu một phương thức lây lan truyền thống, không có gì mới lạ, nhưng vẫn vô cùng hiệu quả, đó là dưới dạng email spam. Các email chứa mã độc sẽ được ngụy trang vô cùng tinh vi, trông rất giống với một hóa đơn điện thoại, hoặc thông báo từ nhà mạng gửi đến khách hàng. Và nếu bạn chẳng may nhấp vào đường link hoặc tải file phương tiện độc hại đính kèm trong email đó về máy - xin chúc mừng! Bạn đã gia nhập “câu lạc bộ” các nạn nhân của Varenyky.
Email spam chứa mã độc Varenyky được ngụy trang cực kỳ tốt
Cách thức virus lây lan vào hệ thống cũng không có gì quá đặc biệt. Thông thường Varenyky được đính kèm trong một file tài liệu ngụy trang rất tốt, thường là giống file Word, khiến nạn nhân nghĩ rằng tài liệu này đã được kiểm duyệt và bảo mật bởi Microsoft, trong khi trên thực tế, họ đã vô tình kích hoạt virus và cho phép nó thâm nhập vào macro trong Word. Cụ thể theo một bài đăng trên trang web của ESET như sau:
"Nhìn chung, nội dung văn bản đính kèm email, tên file tài liệu và nội dung được bảo vệ bởi nhà cung cấp đều được ngụy trang tinh vi, nhằm nhấn mạnh cho người nhận rằng họ đang xử lý một email thực, và nên mở nó để biết thêm thông tin. Chất lượng của đoạn văn bản đánh lừa viết bằng tiếng Pháp cũng rất tốt, không có lỗi ngữ nghĩa, ngữ pháp. Nhìn chung, tài liệu độc hại này trông rất thuyết phục, có thể khiến những người dù là thận trọng nhất vẫn có thể mắc sai lầm".
Sau khi được kích hoạt, macro đính kèm trong văn bản giả mạo sẽ tự động thực thi các quy trình cho phép phần mềm độc hại tải xuống các tệp bổ sung cần thiết để thu thập mật khẩu, truyền tới các hệ thống khác và ghi lại màn hình của nạn nhân mà họ không hề hay biết.
Sau khi thu được những thông tin riêng tư có giá trị, kẻ tấn công sẽ chơi bài ngửa và gửi tới nạn nhận một email tống tiền bằng tiếng Anh. Email này đã được nhóm nghiên cứu của ESET phát hiện và công bố, có nội dung như sau:
Thông điệp tống tiền nạn nhân và hướng dẫn cách trả tiền chuộc
Có thể thấy hacker tống tiền nạn nhân bằng cách cho biết chúng đã thu được những dữ liệu cá nhân có giá trị từ họ, cũng như ghi lại những lần họ truy cập vào trang web người lớn. Nạn nhân sẽ phải chọn cách trả tiền hoặc để những thông tin đó bị phát tán công khai, cũng như gửi đến toàn bộ đồng nghiệp, người thân và bạn bè của nạn nhân nhằm hạ uy tín họ. Đồng thời, kẻ gian cũng đưa ra hướng dẫn chi tiết về cách thức nạn nhân có thể chuyển tiền cho chúng. Nạn nhân sẽ phải quy đổi tiền mặt sang Bitcoin và gửi vào địa chỉ ví điện tử đã được chúng cung cấp.
Vậy thì mã độc này thực sự nguy hiểm như thế nào? Khi mà khía cạnh lừa đảo “sextortion” (chiến thuật tấn công người dùng bằng các bức ảnh hoặc đoạn phim nhạy cảm) này của nó trên thực tế có vẻ như không phải là một mối đe dọa lớn. Chuyên gia bảo mật Bruce P. Burrell, người đứng đầu nhóm nghiên cứu, cho biết nhiều khả năng tên hacker đứng sau phi vụ này đang sử dụng một “sextortion scam kit” mà hắn mua được trên dark web. Tính đến thời điểm hiện tại, chưa có bất cứ một trường hợp nào bị Varenyky tống tiền theo phương pháp này được ghi nhận, và theo các chuyên gia, vấn đề không thực sự nằm ở việc những lần xem nội dung khiêu dâm bị ghi lại.
Chiến thuật tấn công người dùng bằng các bức ảnh hoặc đoạn phim nhạy cảm của mã độc Varenyky không phải là mối đe dọa lớn nhất
Những người đã vô tình tải xuống hóa đơn giả mạo và trao nhầm quyền cho phép chạy macro có nguy cơ bị đánh cắp mật khẩu và thông tin tài chính rất cao, cũng như tiếp tục phát tán phần mềm độc hại cho những người khác trong danh sách liên hệ của họ. Đó mới là vấn đề chính cần quan tâm!
Mặc dù Varenyky chưa chắc đã là mối đe dọa toàn cầu, và cho đến nay, chưa có bất cứ thống kê nào ghi nhận nó đã thành công trong việc tống tiền bất cứ cá nhân nào, thế nhưng sự đơn giản trong vectơ tấn công của mã độc này là rất đáng lưu ý.
Mặt khác, nhóm nghiên cứu của ESET cũng cho rằng các nhà phát triển phần mềm độc hại đứng sau Varenyky là “những kẻ ngoan cường và có tay nghề cao”:
"Nhiều chức năng đã được thêm vào và sau đó nhanh chóng bị xóa trên các phiên bản khác nhau của mã độc chỉ trong một khoảng thời gian khá ngắn (2 tháng). Điều này cho thấy các nhà khai thác phần mềm độc hại vẫn đang tích cực phát triển botnet của mình, và có xu hướng tăng cường thử nghiệm thêm nhiều tính năng mới để mã độc có thể mang lại khả năng kiếm tiền tốt hơn cho chúng”.
Tuy Varenyky chưa lây lan rộng rãi và trở thành mối đe dọa toàn cầu, nhưng điều này không phải là không thể xảy ra, do vậy, mỗi cá nhân vẫn nên tự biết cách bảo vệ mình. Các chuyên gia bảo mật cho biết cách phòng chống phần mềm độc hại tốt nhất là luôn cập nhật hệ điều hành cũng như phần mềm chống virus của bạn lên phiên bản mới nhất, và đặc biệt tránh mở file đính kèm email hoặc tải xuống các file lạ trừ khi bạn chắc chắn 100% rằng chúng không nguy hiểm.