Mã độc núp bóng "game bản quyền miễn phí"

Theo Malwarebytes, game thủ là một mục tiêu quen thuộc của tội phạm mạng, đặc biệt là trong thời gian cuối năm, diễn ra nhiều ngày lễ quan trọng. Các nhà phát hành thường giới thiệu những tựa game mới vào thời điểm này. Để kích thích người mua, họ tung ra một số chương trình khuyến mãi như tặng quà, giảm giá khi đặt trước hoặc mua sớm trong vài tuần đầu.

Hiện tại, có nhiều tựa game lớn xuất hiện trên các nền tảng giao dịch trực tuyến. Chỉ trong vài tuần qua, hàng loạt tên tuổi như Skyrim, Forza Horizon 5, Jurassic World Evolution 2, Halo Infinite, Myth of Empires, Battlefield 2042… đã có mặt. Ngoài ra, các tựa game khác cũng như phiên bản cập nhật sẽ tiếp tục được giới thiệu trong khoảng thời gian từ nay đến cuối năm. 

Đây là mảnh đất màu mỡ dành cho tội phạm lừa đảo, phát tán mã độc thông qua hình thức tặng game bản quyền.

Hứa hẹn tặng game trên YouTube

Theo nhận định của các chuyên gia tại hãng bảo mật Malwarebytes, trong vài ngày gần đây, có rất nhiều hoạt động trên YouTube với những video đáng ngờ. Tất cả đều liên quan đến việc tặng khóa kích hoạt bản quyền miễn phí cho các tựa game đang hot trên thị trường.

Hàng loạt video đề cập đến "phiên bản miễn phí" của Skyrim, CSGO, PUBG, Cyberpunk… Một số khác tập trung vào Call of Duty, GTAV, Fallout 4 và DayZ – đều là những tên tuổi quen thuộc đối với game thủ.

Trong đa số trường hợp, "key Steam miễn phí" chỉ là chiêu trò giả mạo. Đa số video đi kèm liên kết, dẫn đến một trang web chứa tập tin, yêu cầu tải về. Người dùng không nhận được khóa kích hoạt bản quyền miễn phí như hứa hẹn của tiêu đề video.

Mã độc núp bóng game miễn phí

Các chuyên gia đã thử làm theo hướng dẫn trong video. Họ tải xuống tập tin có tên SteamKeyGeneration.rar, dung lượng 4,19 MB. Các trang YouTube này còn hướng dẫn bước tiếp theo để "nhận bản quyền game miễn phí" là "Tải xuống ExLoader, mở tệp RAR, mở tệp EXE".

Các tập tin .RAR được bảo vệ bằng mật khẩu, cung cấp trong phần mô tả video trên YouTube. Tuy nhiên, khi người dùng thực hiện theo các bước này và chạy file EXE đã tải về, mã độc sẽ xâm nhập vào máy tính.

Malwarebytes phát hiện thực thực chất tập tin này là Trojan.Malpack, tên chung được đặt cho các tệp đã được đóng gói một cách đáng ngờ.

Thực tế bên trong có thể là bất kỳ thứ gì, nhưng thông thường, dạng đóng gói tệp này không sử dụng cho các mục đích hợp pháp. Các chuyên gia đã từng thấy những cuộc tấn công tương tự xảy ra trước đây.

Vào năm 2018, người chơi Fortnite bị những kẻ lừa đảo dụ dỗ kích hoạt Trojan.Malpack, dưới hình thức quà tặng miễn phí của Fortnite. Nếu các tệp được tải xuống và chạy trên hệ thống đích, "phần thưởng" cho việc làm đó là hacker sẽ lấy đi dữ liệu người dùng.

Lừa đảo quy mô lớn

Gần đây, YouTube từng đối mặt với làn sóng lừa đảo tương tự. Các nhà nghiên cứu tại Cluster25 đã phát hiện ra hoạt động đáng ngờ, nhắm vào nhiều sở thích khác nhau, bao gồm các hướng dẫn dạng "làm thế nào", tiền điện tử, phần mềm VPN... Trong những trường hợp đó, tội phạm chủ yếu sử dụng 2 loại mã độc là Racoon Stealer và RedLine.

Các video đính kèm liên kết, dẫn dụ đến các trang lưu trữ dữ liệu miễn phí như Mega. Tuy nhiên, khi người dùng nhấn vào, chúng sẽ tải xuống Racoon Stealer. Sau khi xâm nhập vào máy mục tiêu, mã độc sẽ quét để tìm chi tiết thẻ tín dụng, mật khẩu, ví tiền điện tử và các dạng dữ liệu khác. Tất cả sẽ được thu thập và gửi cho kẻ tấn công.

Có nhiều điểm tương đồng giữa hình thức tấn công này với hoạt động lừa đảo tặng game bản quyền. Dù chúng dẫn đến một tập tin nén trên dịch vụ lưu trữ miễn phí và yêu cầu mật khẩu để mở, cuối cùng hoạt động của người dùng cũng vô tình cho phép mã độc xâm nhập vào máy tính.

Đây không phải là cách thức lừa đảo mới, tuy nhiên nó vẫn chứng tỏ hiệu quả.

Malwarebytes nhận định đang có xu hướng nở rộ chiêu bài lừa đảo này. Khi một tin tặc thu được kết quả, hàng loạt kẻ khác sẽ thực hiện tương tự, tạo ra chiến dịch tấn công trên quy mô lớn.

Cách thức phòng tránh lừa đảo

Cho dù đây là một đợt lừa đảo quy mô lớn hay đơn thuần là hoạt động nhỏ lẻ của các tin tặc, người dùng vẫn nên tỉnh táo trước các lời hứa tặng bản quyền game trên YouTube.

Các chuyên gia của Malwarebytes chỉ ra rằng tuyên bố này hoàn toàn không xác thực. Rất khó tin một nền tảng giao dịch kỹ thuật số như Steam bị hack và lấy đi các khóa kích hoạt bản quyền.

Bên cạnh đó, đa số tài khoản YouTube loại này đều mới được lập ra, không có nội dung nào khác ngoài những video "tặng game bản quyền". Nhiều tài khoản cũ hơn nhưng không hoạt động trong thời gian dài, hoặc thay đổi nội dung đột ngột trước khi xuất hiện hàng loạt video loại này.

Chẳng hạn, chỉ cách đó một tuần, kênh YouTube làm video về mèo, bỗng dưng chuyển sang hướng dẫn tải các bản game Skyrim đã bẻ khóa. Đó là dấu hiệu rõ ràng của âm mưu lừa đảo.

Một đặc điểm dễ nhận biết khác là chủ nhân khóa tính năng bình luận. Bất kỳ YouTuber nào dẫn người dùng đến liên kết bên ngoài và không cho phép phản hồi đều có mục đích riêng của họ.