Hàng ngàn website lợi dụng covid-19 để lừa đảo và phát tán mã độc

08:41 - 26/03/2020

Theo một báo cáo mới của công ty Check Point (Israel) phát hành ngày 18/3, tin tặc đã lợi dụng dịch covid-19 để đăng ký các tên miền liên quan đến virus SARS-CoV-2 và bán các phần mềm độc hại trên các trang web đen.

Đánh giá khả năng ứng phó tấn công mạng qua diễn tập thực chiến
Ban Cơ yếu Chính phủ tổ chức diễn tập thực chiến bảo đảm an toàn thông tin mạng năm 2024
Phát hiện chiến dịch gián điệp mạng tại châu Á - Thái Bình Dương
Kaspersky: Tấn công lừa đảo nhắm vào SMB tăng hơn 56% trong qúy I/2020
Google cảnh báo người dùng cần khẩn trương nâng cấp phiên bản Chrome mới nhất

Check Point cho biết, tin tặc đưa ra các ưu đãi đặc biệt nhằm quảng bá hàng hóa (thường là phần mềm độc hại hoặc công cụ khai thác) trên các web đen và sử dụng mã giảm giá là “COVID19” hoặc “Coronavirus”.

Có thể kể đến: Một số công cụ có sẵn với giá ưu đãi như WinDefender bypass và Build to bypass email and chrome security. Hay một nhóm tin tặc với biệt danh SSHacker cung cấp dịch vụ tấn công vào tài khoản Facebook với mã COVID-19 giảm giá 15%. Còn tin tặc với bí danh True Mac đang rao bán một mẫu MacBook Air 2019 với giá chỉ 390 USD với lý do ưu đãi đặc biệt mùa Corona.

Chỉ trong ba tuần kể từ nửa cuối tháng 2 đến nay, số lượng tên miền mới trung bình tăng gấp gần 10 lần so với các tuần trước đó. Khoảng 0,8% trong số đó là độc hại (93 trang web) và 19% khác là web đáng ngờ (hơn 2.200 trang web).

Các cuộc tấn công mạng được phát hiện trong thời gian gần đây nhằm vào các bệnh viện và trung tâm xét nghiệm. Các chiến dịch lừa đảo phân phối phần mềm độc hại như AZORuIt – trojan đánh cắp mật khẩu, Emotet – trojan tấn công hệ thống ngân hàng, Nanocore RAT – trojan xâm nhập máy tính và TrickBot – một chiến dịch phân phối mã độc thông qua các liên kết, tệp đính kèm hay các phần mềm độc hại. Từ đó, thu lợi từ đại dịch toàn cầu.

Một tổ chức đe dọa nhằm vào quốc phòng, đại sứ quán và chính phủ Ấn Độ do nhà nước Pakistan tài trợ có tên APT36 đã bị phát hiện đang thực hiện một chiến dịch lừa đảo bằng cách sử dụng trang web có liên quan đến Coronavirus. Trang web có nội dung cố vấn y tế nhưng thực chất, nó triển khai công cụ quản trị từ xa Crimson (Crimson Remote Administration Tool – CRAT) nhắm vào các hệ thống được xác định trước.

Các nhà nghiên cứu từ công ty bảo mật IssueMakersLab (trụ sở Hàn Quốc) đã phát hiện ra một chiến dịch mã độc do tin tặc Triều Tiên sử dụng các tài liệu có nội dung về phản ứng của Hàn Quốc đối với dịch covid-19, nhằm đánh lừa người dùng tải về phần mềm độc hại BabyShark. Công ty an ninh mạng Recorded Future (Mỹ) cho biết, có ít nhất 3 trường hợp tấn công liên quan đến covid-19 được tài trợ bởi nhà nước.

Chiến dịch gửi thư rác độc hại liên quan đến covid-19 thường nhắm vào các ngành sản xuất, công nghiệp, tài chính, vận tải, dược phẩm và mỹ phẩm. Chúng dựa trên các tài liệu Microsoft Word về khai thác lỗi tồn tại hơn 2 năm của Microsoft Office trong Equation Editor. Từ đó, cài đặt phần mềm đánh cắp thông tin AZORult. AZORult cũng đã được phát tán bằng cách sử dụng phiên bản lừa đảo của Bản đồ Johns Hopkins về Coronavirus dưới dạng thực thi độc hại.

Một ứng dụng giả mạo trên hệ điều hành Android về theo dõi Coronavirus theo thời gian thực có tên COVID19 Tracker, bị phát hiện lợi dụng quyền người dùng để thay đổi mật khẩu màn hình khóa điện thoại và cài đặt CovidLockransomware. Sau đó, mã độc yêu cầu người dùng tiền chuộc 100 bitcoin để mở khóa dữ liệu.

Một cuộc tấn công lừa đảo khác được phát hiện bởi công ty Abnormal Security (Mỹ) nhắm vào các sinh viên và nhân viên trường đại học với các email giả mạo, đánh cắp thông tin đăng nhập Office 365 bằng cách chuyển hướng các nạn nhân sang trang đăng nhập Office 365 giả mạo.

Một hình thức khác được tin tặc sử dụng phổ biến là tấn công bình luận rác (spam comment) tại các trang web có chứa các liên kết đến website có thông tin Coronavirus. Những trang web này nhìn vô hại, nhưng chúng sẽ chuyển hướng người dùng đến các doanh nghiệp bán thuốc không đáng tin.

Ngoài các thư rác chứa phần mềm độc hại, các nhà nghiên cứu của F-Secure (Hà Lan) đã phát hiện một chiến dịch spam mới lợi dụng sự thiếu hụt khẩu trang để lừa tiền người dùng.

Hàng ngàn website lợi dụng covid-19 để lừa đảo và phát tán mã độc

Để đảm bảo an toàn, doanh nghiệp và cá nhân cần lưu ý:

Các doanh nghiệp nên đảm bảo rằng các công nghệ truy cập từ xa an toàn được thực hiện đúng và cấu hình chính xác, sử dụng xác thực đa yếu tố. Giúp nhân viên có thể làm việc một cách an toàn tại nhà.

Các cá nhân nên tránh sử dụng các thiết bị cá nhân trái phép cho công việc. Cảnh giác với email và tệp được từ người gửi chưa xác định. Kiểm tra tính xác thực của địa chỉ người gửi, không mở tệp đính kèm không xác định hay nhấp vào liên kết đáng ngờ, tránh những email yêu cầu chia sẻ dữ liệu nhạy cảm như mật khẩu tài khoản hoặc thông tin ngân hàng.

Bên cạnh đó, cả cá nhân và doanh nghiệp cần cập nhật thông tin từ nguồn đáng tin cậy, các trang web chính phủ về tình hình covid-19.

Nguồn: antoanthongtin.vn