Cảnh báo nguy cơ và cách phòng chống mã độc lây qua FaceBook

Mã độc lan tràn qua FaceBook

Các loại malware mới với định dạng Video_5160.zip (hoặc Video_xxxx.zip) đang ngày càng lan rộng trên FaceBook, mang đến khá nhiều phiền toái, thậm chí nguy hiểm đến máy tính và thông tin cá nhân của người dùng. Các Malware như Video.zip này có thể làm được nhiều thứ khác nhau tùy vào ý muốn của người thực hiện và phát tán nó. Mức độ gây hại của Malware cũng có mức độ từ nặng đến nhẹ.

Dù chưa có thông báo cụ thể gì về việc gây hại từ Video.zip qua Facebook, tuy nhiên Malware có thể có một số nguy hại như sau: Mã độc này đang lây lan nhanh chóng qua Facebook Messenger biến máy tính của nhiều người dùng tại Việt Nam thành công cụ đào tiền ảo; Thay đổi hệ thống search engine tự động, đánh cắp thông tin tìm kiếm, chèn quảng cáo; Cài các phần mềm chạy ẩn, đánh cắp thông tin người dùng, cài keylogger ẩn (ghi lại mật khẩu người dùng); Giành quyền điều khiển trực tiếp máy tính (như teamviewer) và đánh cắp thông tin trực tiếp trên máy và còn nhiều nguy hại khác.

Trước mức độ lây lan nhanh chóng của mã độc này, Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông vừa chính thức ra công văn số 683/CATTT-TĐQLGS cảnh báo và khuyến nghị biện pháp phòng, chống mã độc lây lan thông qua Facebook Messenger tại Việt Nam

Công văn nêu rõ, mã độc này lây lan bằng cách gửi đi một tập tin tên là video_xxx.zip (trong đó xxx là các số ngẫu nhiên). Đây là một tập tin nén trong đó có chứa tập tin với định dạng mp4.exe, thực chất là tập tin thực thi của hệ điều hành Windows. Tuy nhiên người dùng thông thường lại nhầm tưởng là tập tin Video (mp4) nên dễ dàng tin tưởng mở tập tin.

Qua phân tích kỹ thuật ban đầu của Cục An toàn thông tin, loại mã độc này khi lây nhiễm vào máy tính người dùng sẽ thực hiện những hoạt động sau:

Mã độc tự động tải và cài đặt một số tập tin độc hại: 7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet.bid  (với các mẫu mã độc khác nhau, tên miền này có thể thay đổi).

Mã độc sẽ sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó lấy tiện ích mở rộng (extension) độc hại và tự động cài đặt tiện ích mở rộng này này vào trình duyệt Chrome. Đồng thời, mã độc này không cho người dùng truy cập vào phần quản lý tiện ích mở rộng của trình duyệt. Trong tập tin được giải nén có chứa các tập tin thực thi được cho là sử dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo.

Thông qua các biện pháp kỹ thuật xác định được tác giả của mẫu mã độc này có thể đang sử dụng địa chỉ email có tên miền là kadirgun.com.

Theo các chuyên gia an toàn thông tin, những người dùng trình duyệt Chrome là đối tượng chính của mẫu mã độc này. Không loại trừ khả năng trong thời gian tới sẽ xuất hiện các mẫu mã độc nhằm vào các trình duyệt khác.

Nhằm bảo đảm an toàn thông tin và phòng tránh nguy cơ bị tấn công bởi mã độc, Cục An toàn thông tin khuyến nghị:

- Cảnh giác và không mở các tập tin hay đường dẫn lạ được gửi qua Facebook Messenger hay bất kỳ ứng dụng truyền thông nào khác (ví dụ: Viber, Zalo, thư điện tử, …).

- Nếu nhận được các thông tin (tập tin hoặc đường dẫn) lạ, có thể thông báo hoặc gửi thông tin về Cục An toàn thông tin để tổng hợp và phân tích, cảnh báo khi có những dấu hiệu, nguy cơ tấn công mạng mới.

- Đối với người dùng đã bị lây nhiễm cần cài đặt và cập nhật các phần mềm phòng, chống mã độc, virus để phát hiện và ngăn chặn, loại bỏ mã độc.

Cách xử lý đơn giản khi bị nhiễm mã độc

Nếu máy tính được trang bị các phần mềm bảo mật tốt, thiết bị sẽ cảnh báo người dùng liên tục về loại mã độc này. Người dùng cần thận trọng trước khi bấm vào những liên kết, tập tin, ứng dụng bất thường được gửi qua Facebook Messenger.

Dù vậy trong nhiều trường hợp máy tính của người dùng chưa được cài đặt phần mềm bảo mật hoặc có phần mềm bảo mật nhưng không được phát hiện ra, nếu chạy file chứa mã độc kể trên nó sẽ tự động cài đặt một extension trên trình duyệt web Chrome, sau đó lợi dụng tài khoản Facebook mà người dùng đã đăng nhập trên trình duyệt này để tiếp tục phát tán và gửi đi file chứa mã độc thông qua Facebook Messenger.

Tuy nhiên, file mã độc này được viết bằng ngôn ngữ lập trình AutoIT, thường dùng để xây dựng các công cụ tự động thực hiện một thao tác nào đó trên máy tính. Như vậy, nếu người dùng chỉ vô tình tải file chứa mã độc được gửi qua Facebook Messenger mà không kích hoạt để chạy file này thì vẫn an toàn, ngược lại nếu vô tình kích hoạt file thì mã độc sẽ xâm nhập vào máy tính.

Vì mã độc này mới xuất hiện nên một số chương trình diệt virus vẫn chưa cập nhật để hỗ trợ tiêu diêt. Một khi đã nhiễm mã độc, chúng sẽ liên tục tạo ra các biến khác nhau. Điều này khiến nó gần như không thể tiêu diệt triệt để.

Trước hết, nếu bạn lỡ bấm link trên điện thoại iOS/Android, cách đơn giản nhất là Clear History toàn bộ của trình duyệt trên điện thoại.

Hiện tại mã độc này chỉ đang tấn công vào trình duyệt web Chrome và khai thác tài khoản Facebook mà người dùng đã đăng nhập vào tài khoản này từ trước. Trong trường hợp bạn đã vô tình kích hoạt file có chứa mã độc này, điều đầu tiên là cần thông báo cho bạn bè trên Facebook của mình được biết và nếu có tin nhắn gửi đến chứa file đính kèm thì tuyệt đối không được tải về và mở ra để hạn chế mã độc phát tán.

Tiếp theo bạn nên kiểm tra xem trình duyệt Chrome của mình có cài đặt thêm extension nào mới mà bạn không hay biết hay không. Để làm điều này, nhấn vào biểu tượng menu của Chrome ở góc trên bên phải, chọn “Công cụ khác” -> “Tiện ích mở rộng” từ menu hiện ra.

Để đảm bảo an toàn, bạn nên phục hồi lại trình duyệt Chrome của mình về trạng thái ban đầu. Để thực hiện điều này, bạn nhấn vào biểu tượng menu của Chrome, chọn “Cài đặt” từ menu hiện ra. Tại khung “Cài đặt tìm kiếm”, bạn điền từ khóa “Đặt lại”, sau đó chọn “Đặt lại” từ kết quả hiện ra.

Lưu ý rằng điều này sẽ phục hồi Chrome về trạng thái nguyên bản ban đầu, xóa hết thiết lập về trang chủ, các tiện ích mở rộng đã cài đặt, cookies... tuy nhiên các trang đã bookmark, mật khẩu đã lưu hay lịch sử duyệt web vẫn sẽ được giữ lại.

Để đảm bảo an toàn cho tài khoản Facebook của mình, bạn nên thay đổi mật khẩu tài khoản Facebook, đồng thời kích hoạt chế độ bảo mật 2 lớp để bảo vệ an toàn cho tài khoản Facebook của mình.

Cuối cùng bạn nên nâng cấp cơ sở dữ liệu cho phần mềm bảo mật hiện đang sử dụng và quét toàn bộ máy tính để đảm bảo mã độc không còn bị sót lại trên máy tính của mình. Đến thời điểm hiện tại, loại mã độc này đã bị nhiều phần mềm bảo mật hiện nay phát hiện và ngăn chặn được. Thậm chí công cụ bảo mật tích hợp sẵn trên Windows 10 cũng phát hiện ra và ngăn chặn ngay khi người dùng kích hoạt file thực thi. Người dùng vẫn nên liên hệ với những người bạn khác trên Facebook để kiểm tra xem tài khoản Facebook của bạn có tiếp tục gửi đi file đính kèm có chứa virus hay không.

Người dùng cũng lưu ý rằng không nên vội vàng mở và xem những file đính kèm được gửi đến trên Facebook Messenger hoặc trên email, nên hỏi rõ người gửi xem có thực sự họ gửi các file đó hay không. Đặc biệt nếu là file đính kèm được gửi đến từ người lạ thì tuyệt đối không được mở ra và tốt nhất nên phớt lờ chúng đi.