Cảnh báo 'tin tặc Việt Nam lập trang tin giả về Đại hội 13, chính trị giật gân để cài virus'

Một ví dụ mà công ty Veloxity cảnh báo trong nghiên cứu vừa công bố ngày 6/11
Chụp lại hình ảnh,

Một ví dụ mà công ty Veloxity cảnh báo trong nghiên cứu vừa công bố ngày 6/11

Nhóm tin tặc OceanLotus, nghi là liên quan Việt Nam, đã lập hàng loạt trang web tin tức và trang Facebook để lừa người đọc, từ đó cài virus vào máy tính của họ để theo dõi, theo công ty an ninh mạng đặt tại Washington DC có tên Volexity.

Volexity nói nhóm tin tặc OceanLotus đã lập ra hàng loạt trang tin tức mang chủ đề chính trị, chống tham nhũng, trông có vẻ rất thuyết phục nhưng thực chất nhằm lừa và cài đặt phần mềm xấu vào máy người đọc.

Ví dụ có trang lấy địa chỉ là nhansudaihoi13.org, ra vẻ đưa tin về Đại hội 13 của Đảng Cộng sản Việt Nam, cộng thêm trang của họ trên Facebook.

Các tin tức chủ yếu sao chép tự động từ các trang báo chí truyền thống, có vẻ dùng plugin của WordPress.

Volexity tin rằng có hai cách để các trang giả mạo này nhắm vào độc giả.

Một là cơ chế mà họ gọi là "profiling framework" có sẵn trong các trang web này, dùng để xác minh danh tính và đánh giá thông tin về người thăm trang web.

Hai là nhắm trực diện vào từng cá nhân bằng cách gửi đường dẫn có virus cho độc giả bằng cách lừa đảo (phishing) và gửi trực tiếp tin nhắn qua mạng xã hội như Facebook.

Khi người đọc vào thăm các trang tin giả này, công cụ tấn công dùng JavaScript được mở ra. Thông thường sẽ có hai đoạn mã được sử dụng:

Một mã dùng để lưu trữ thông tin về khách thăm.

Một mã dùng để lừa độc giả download về máy phần mềm giả hoặc tài liệu giả.

Chụp lại hình ảnh,

Veloxity lấy ví dụ trang baomoivietnam mà theo họ là trang tin giả, hiện yêu cầu cài đặt Flash Player để từ đó xâm nhập phi pháp

Volexity, trong nghiên cứu, lấy ví dụ trang giả mạo có tên baomoivietnam.com. Độc giả có thể bấm vào xem một tin về đại học Tôn Đức Thắng. Sau khi họ vào, công cụ JavaScript sẽ bật lên, mời họ xem một video.

Trang sẽ hiện ra hộp thoại bảo rằng có video đang mở ra.

Nếu khách dùng máy hệ điều hành Windows, sau vài giây, video không chạy và có thông báo hãy cài đặt Flash Player ngay. Một file, ví dụ có tên Adobe_Flash_Install.rar, hiện ra, mời người đọc download về để rồi bị nhiễm virus Cobalt Strike.

Nếu khách dùng điện thoại chạy iOS hay Android, họ sẽ thấy có hình nói video yêu cầu phải đăng nhập thì mới được xem, và dĩ nhiên đây chỉ là cái bẫy.

Chụp lại hình ảnh,

Tên một số trang web giả tạo bị Volexity cảnh báo

Volexity cảnh báo nhóm tin tặc OceanLotus đang tiếp tục nhắm vào người dùng bằng cách lập ra nhiều trang web tương tự.

Họ khuyên người dùng phải cẩn thận khi xem các trang web, đặc biệt là các trang được giới thiệu qua email, đoạn chat, tin nhắn, hay SMS.

Và dù thăm trang web nào, họ cảnh báo người dùng phải thận trọng nếu được mời gọi download hay đăng nhập với thông tin cá nhân.