Sói đội lốt cừu và những kiểu lừa người dùng cài mã độc phổ biến nhất thế giới

Một trong những phương pháp mà hacker hay dùng để phát tán mã độc là lừa người dùng tải xuống và chạy các file virus. Để lừa được mọi người, hacker đang sử dụng nhiều loại thủ thuật, thủ đoạn khác nhau.

Trong đó, thủ thuật hay được dùng nhất là ngụy trang virus dưới dạng một phần mềm hợp pháp, dùng chữ ký số - chứng chỉ hợp lệ hoặc xâm nhập các trang web đáng tin cậy sau đó dùng chúng làm điểm phân phối.

Theo VirusTotal, một nền tảng bảo mật chuyên dùng để tải file lên quét virus, một số thủ thuật đang được hacker triển khai trên quy mô lớn hơn nhiều so với những gì chúng ta nghĩ.

Nền tảng này đã biên soạn ra một báo cáo trình bày dữ liệu mà họ thống kê từ tháng 01/2021 đến tháng 07/2022, dựa trên dữ liệu quét 2 triệu file hàng ngày. Báo cáo minh họa cho mọi người thấy rõ cách mà các mã độc được phân phối.

Lạm dụng các tên miền hợp pháp

Việc phân phối phần mềm độc hại thông qua các trang web hợp pháp, phổ biến và xếp hạng cao (trong kết quả tìm kiếm Google) giúp hacker tránh bị chặn dựa trên IP và tận hưởng những lợi ích như tính khả dụng cao và mức độ tin cậy cao hơn.

VirusTotal đã phát hiện 2,5 triệu file đáng ngờ được tải xuống từ 101 tên miền thuộc bảng xếp hạng 1.000 trang web hàng đầu của Alexa.

Trường hợp bị lạm dụng đáng chú ý nhất chính là Discord. Dịch vụ nhắn tin dành riêng cho game thủ này đã trở thành điểm nóng phân phối phần mềm độc hại. Bên cạnh đó, các nhà cung cấp dịch vụ hosting và dịch vụ điện toán đám mây Squarespace và Amazon cũng bị lạm dụng quy mô lớn.

Sử dụng các code-signing certificate bị đánh cắp

Thông thường, để xác nhận, chứng thực phần mềm các công ty sẽ sử dụng hệ thống chứng chỉ, chữ kỹ số cho code của mình (code-signing certificate). Sau này, hacker đánh cắp code-signing certificate từ các công ty rồi đưa chúng vào các phần mềm độc hại. Nhờ vậy, phần mềm độc hại với các code-signing certificate hợp pháp sẽ tránh bị phần mềm diệt virus phát hiện và cảnh báo trên máy bị nhiễm.

Trong số tất cả các mẫu mã độc được tải lên VirusTotal từ tháng 01/2021 tới tháng 04/2022, hơn 1 triệu mẫu đã được ký và 87% có chứng chỉ hợp lệ.

Các tổ chức chứng nhận phổ biến nhất thường ký cho các mẫu mã độc gửi lên VirusTotal gồm Sectigo, DigiCert, USERTrust và Sage South Africa.

Giả mạo phần mềm phổ biến

Việc mã độc giả mạo phần mềm phổ biến, hợp pháp có xu hướng tăng trong năm 2022.

Nạn nhân tải xuống các file này vì nghĩ rằng họ đang nhận được ứng dụng họ cần. Tuy nhiên, khi chạy trình cài đặt, họ đã tự lây nhiễm mã độc vào máy tính của họ và thậm chí còn có thể lây nhiễm cho cả tổ chức, doanh nghiệp.

Các ứng dụng bị giả mạo nhiều nhất (giả mạo biểu tượng) là Skype, Adobe Acrobat, VLC và 7zip.

Phần mềm tối ưu hóa Windows phổ biến là CCleaner cũng được hacker ưa thích. Với khối lượng phân phối khổng lồ, tỷ lệ người dùng nhiễm mã độc do cài CCleaner giả mạo là rất lớn.

Cài cắm mã độc vào trình cài đặt

Cuối cùng là thủ đoạn cài cắm mã độc vào trình cài đặt của các ứng chính thống và âm thầm lây nhiễm ở chế độ nền trong khi các ứng dụng thực thi trên máy tính. Quá trình này đánh lừa được nạn nhân và cũng tránh được một số công cụ diệt virus xem xét kỹ cấu trúc tài nguyên PR và nội dung trong tệp thực thi.

Dựa trên số liệu thống kê của VirusTotal, thủ đoạn này cũng đang gia tăng về số lownjg trong năm nay. Hacker thường dùng Google Chrome, Malwarebytes, Windows Updates, Zoom, Brave, Firefox, ProtonVPN và Telegram làm mồi nhử.

Làm thế nào để giữ an toàn?

Khi tìm cách tải ứng dụng, bạn hãy sử dụng cửa hàng ứng dụng tích hợp sẵn trên hệ điều hành hoặc truy cập trang tải chính thức của ứng dụng. Ngoài ra, hãy cẩn thận với các quảng cáo hiển thị với thứ hạng cao trên kết quả tìm kiếm hacker có thể dễ dàng giả mạo một trang web chính thức.

Sau khi tải trình cài đặt, hãy luôn thực hiện quét virus tệp đó trước khi chạy để đảm bảo chúng không phải là một phần mềm độc hại, không chứa virus, mã độc...

Cuối cùng, hãy tránh sử dụng các trang torrent để tìm phần mềm crack hoặc trình bẻ khóa các phần mềm bản quyền vì chúng thường chứa mã độc, virus.