Tin tặc gửi e-mail giả kết luận của Thủ tướng để phát tán virus

08/06/2015
Một phóng viên đã nhận được hai e-mail đính kèm tệp tin có tiêu đề liên quan đến kết luận của Thủ tướng, tuy nhiên file đó chứa mã độc hại được điều khiển qua domain từ Trung Quốc.

E-mail này được gửi từ địa chỉ thuhuyenvpcp@gmail.com với tiêu đề "Thông báo kết luận của Thủ tướng Nguyễn Tấn Dũng tại cuộc họp 03.6 về Luật ĐƯQT" và địa chỉ phamhongsambtctw@gmail.com, tiêu đề "Thấy gì từ Hội nghị TW 11".

E-mail đính kèm một file văn bản .doc và qua kiểm tra, ông Ngô Tuấn Anh, Phó chủ tịch Bkav, cho biết tệp tin này có chứa mã độc. Nội dung thư được gửi khi kỳ họp thứ 9 Quốc hội đang diễn ra nên có thể khiến người nhận mất cảnh giác và mở tệp tin.

Ông Nguyễn Minh Đức, chuyên gia bảo mật của FPT, nhận định file này khai thác lỗ hổng trong Microsoft Word đã được công bố tháng 4/2014. Nếu chưa cập nhật bản vá, khi mở file, hệ thống của người nhận sẽ nhiễm phần mềm gián điệp chuyên thu thập thông tin trên máy tính.

hacker-1895-1433561391.jpg

Mô tả virus phát tán qua e-mail

Qua quá trình phân tích, ngày 6/6, Bkav khẳng định mã độc được điều khiển qua domain từ Trung Quốc, sử dụng địa chỉ IP giả khiến việc giám sát mạng thông thường không thể phát hiện ra địa chỉ máy chủ thật của hacker.

Công ty này cho hay, đây là một loại mã độc RAT (Remote Access Trojan), mở cổng hậu trên thiết bị của nạn nhân và cho phép hacker truy cập điều khiển từ xa (Remote Access). Sau khi mở tập tin, virus sẽ cài ba thành phần độc hại vào hệ thống thiết bị, bao gồm LMS.exe; dbghelp.dll và ticrf.rat. Mã nguồn của virus này tương tự virus "Biển đông" được phát tán vào tháng 7/2014. Đồng thời máy chủ điều khiển cũng cùng thuộc tên miền dubkill.com (máy chủ vụ tháng 7/2014 là moit.dubkill.com). Như vậy có thể thấy đây vẫn một nhóm đang âm thầm tấn công thời gian qua.

Bkav khuyến cáo người dùng cần cập nhật bản vá Microsoft Office trên máy, mở các file văn bản nhận từ Internet trong môi trường cách ly và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.

Cách đây 10 ngày, đại diện công ty FireEye (Mỹ) cũng đã sang Việt Nam cảnh báo về tình trạng một nhóm tin tặc, tạm gọi là APT30, sử dụng phần mềm chứa mã độc để tiếp cận hàng loạt máy tính "chứa các thông tin tình báo quan trọng về chính trị, kinh tế, quân sự" ở các nước châu Á, trong đó có Việt Nam, suốt 10 năm mà không bị phát hiện.

Trong số này, nhà báo cũng là mục tiêu tấn công chính của hacker, nhất là những người chuyên tìm hiểu và đưa tin về tình trạng nền kinh tế Trung Quốc, lĩnh vực công nghệ cao (hi-tech), tham nhũng, nhân quyền, vấn đề biển Đông và quân sự, quốc phòng.

Hình thức tấn công của nhóm giống như vụ việc trên là gửi các e-mail chứa tệp đính kèm và dụ người nhận tải file. Ngay khi mở file, tin tặc sẽ chiếm quyền kiểm soát máy tính. APT30, nhiều khả năng được đặt tại Trung Quốc, khai thác những chủ đề liên quan đến diễn biến chính trị để đánh lừa người nhận mở file đính kèm chứa mã độc. "Chúng tôi không ngạc nhiên khi họ cũng tận dụng diễn biến chính trị liên quan ở Việt Nam để làm chủ đề của các e-mail tấn công", ông Wias Issa, Giám đốc cấp cao của FireEye, chia sẻ.

Nguồn VNexpress.net - Châu An