Mã độc Emotet bị hack ngược, thay đường link độc hại bằng meme hài hước

Kyr Doo-Hyun

Sau một khoảng thời gian hoành hành, mới đây hoạt động của mã độc Emotet đã bị gián đoạn. Lý do là hệ thống của Emotet đã bị hacker mũ trắng hack ngược lại. Sau khi xâm nhập thành công, haker mũ trắng đã thay đường link chứa mã độc bằng những meme hài hước.

Chiến dịch hack ngược Emotet đã diễn ra vài ngày qua, giúp các nhà nghiên cứu có thêm thời gian tìm hiểu phương thức ngăn chặn mã độc này.

Kẻ đi hack bị hack ngược

Emotet phát tán dựa trên các trang web bị hack có chứa những đoạn mã thực thi ứng dụng độc hại. Chúng dùng các trang bị hack để phát tán mã độc qua email. Khi nạn nhân nhấp vào các đường link và tệp đính kèm chứa mã độc, Emotet sẽ được kích hoạt, chiếm quyền điều khiển máy của nạn nhân.

Tuy nhiên, khi các đường link chứa mã độc bị thay bằng link meme hài hước, email spam của Emotet trở nên vô dụng. Hành động của hacker mũ trắng chưa xác định được danh tính này rất ý nghĩa với người dùng và khiến những kẻ đứng đằng sau Emotet phải đau đầu tìm cách khắc phục.

Link độc hại của Emotet bị thay bằng meme Hackerman

Link độc hại của Emotet bị thay bằng ảnh James Franco

Các nhà nghiên cứu cho biết ban đầu, hacker mũ trắng thay link độc hại bằng ảnh của James Franco. Tuy nhiên, sau đó anh ta dùng meme Hackerman để tăng thêm phần hài hước.

Theo các nhà nghiên cứu do bị hack ngược nên Emotet hiện đang tạm ngừng phân phối email spam.

Mèo đuổi chuột

Nhà nghiên cứu an ninh mạng Kevin Beaumont của Microsoft nhận ra rằng khoảng1/4 email spam mà anh kiếm tra đã thay link độc hại bằng ảnh GIF. Hacker mũ trắng đang duy trì tốc độ thay link khá cao, các đường link được thay bằng ảnh GIF trong chưa đầy 1 giờ sau khi Emotet bắt đầu cấy link vào email spam. Thậm chí, sau đó tốc độ thay link còn được đẩy lên chỉ còn chưa đầy 2 phút.

Theo các nhà nghiên cứu, Emotet đang rất nỗ lực để khắc phục tình trạng này. Những kẻ đứng đằng sau Emotet có thể sẽ loại bỏ shell để lấy lại quyền truy cập vào các trang web mà chúng dùng để phát tán mã độc.

Emotet cũng có thể mua quyền truy cập vào các máy chủ của những mã độc khác để chuyển hướng traffic cho các chiến dịch lừa đảo. Tại thời điểm bài viết này được hoàn thành, một số link ảnh GIF trong email spam đã bị đổi thành link khảo sát người dùng, một kiểu lừa đảo mới của Emotet.

Các chuyên gia khuyến cáo người dùng không nên nhấp vào những đường link hoặc tệp đính kèm trong email được gửi tới từ người dùng lạ. Bên cạnh đó, tệp đính kèm và email gửi từ người quen cũng cần phải được quét virus trước khi nhấp vào.