Loại mã độc đào tiền ảo mới được phát tán qua ứng dụng Facebook Messenger bắt đầu bùng phát và làm "náo loạn" Internet tại Việt Nam bắt đầu từ ngày 19/12/2017. Cụ thể, Sáng 19/12/2017, nhiều người dùng sử dụng ứng dụng Facebook Messenger tại Việt Nam đã trở thành nạn nhân của một loại mã độc được cho là sử dụng để đào tiền ảo.
Mã độc này lây lan bằng cách gửi đi một tập tin tên là video_xxx.zip (trong đó xxx là các số ngẫu nhiên). Đây là một tập tin nén trong đó có chứa tập tin với định dạng mp4.exe, thực chất là tập tin thực thi của hệ điều hành Windows. Tuy nhiên, người dùng thông thường lại nhầm tưởng là tập tin Video (mp4) nên dễ dàng tin tưởng mở tập tin.
Theo phân tích của các chuyên gia Cục An toàn thông tin - Bộ TT&TT, loại mã độc này khi lây nhiễm vào máy tính người dùng sẽ thực hiện những hoạt động: mã độc tự động tải và cài đặt một số tập tin độc hại 7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet.bid (với các mẫu mã độc khác nhau, tên miền này có thể thay đổi); mã độc sẽ sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó lấy tiện ích mở rộng (extension) độc hại và tự động cài đặt tiện ích mở rộng này này vào trình duyệt Chrome, đồng thời mã độc này không cho người dùng truy cập vào phần quản lý tiện ích mở rộng của trình duyệt. Trong tập tin được giải nén có chứa các tập tin thực thi được cho là sử dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo.
Số liệu thống kê từ hệ thống giám sát virus của Bkav cho thấy, kể từ thời điểm bắt đầu bùng phát vào sáng 19/12/2017 cho tới nay, số lượng máy tính tại Việt Nam bị nhiễm mã độc đào tiền ảo phát tán qua Facebook Messenger đã liên tục tăng nhanh, từ con số 12.600 máy tính bị lây nhiễm tại thời điểm 14h ngày 21/12/2017 lên hơn 23.000 máy tính bị nhiễm vào chiều ngày 26/12/2017 và số máy tính bị hệ thống của Bkav ghi nhận nhiễm mã độc đào tiền ảo tính đến thời điểm ngày 2/1/2018 là 36.000 máy tính.
Trong các thông tin cảnh báo trước đó, chuyên gia Bkav cũng khuyến cáo về việc hacker lập trình để sinh tự động các biến thể mới, với tần suất khoảng 10 phút/lần nhằm qua mặt các phần mềm an ninh.
Nguy hiểm hơn, thông tin công bố ngày 21/12/2017 của Bkav còn cho hay, biến thể mới của mã độc đào tiền ảo còn được cài sẵn chức năng lấy cắp mật khẩu Facebook của người dùng.
Trao đổi với ICTnews sáng nay, ngày 6/1/2018, ông Vũ Ngọc Sơn, Phó Chủ tịch phụ trách mảng chống mã độc của Bkav cho biết: "Tính tới thời điểm hiện tại thì số máy tính tại Việt Nam bị nhiễm mã độc đào tiền ảo là 41.000 máy.
Chúng tôi chưa phát hiện thêm hình thức lây lan mới của loại mã độc này, mã độc đào tiền ảo hiện vẫn chỉ lây qua Facebook Messenger thông qua plugin trên Google Chrome".
Liên quan đến việc lan truyền, phát tán mạnh mã độc đào tiền ảo thông qua ứng dụng Facebook Messenger tại Việt Nam được các chuyên gia an ninh mạng liên tục đưa ra các khuyến cáo trong khoảng 3 tuần gần đây, thời gian qua, trong thông tin chia sẻ với báo chí, đại diện truyền thông của Facebook tại Việt Nam cho hay, hiện Facebook đã duy trì một số hệ thống tự động để giúp ngăn chặn các liên kết và tệp gây hại xuất hiện trên Facebook và Messenger.
"Nếu Facebook nghi ngờ máy tính của người dùng bị nhiễm mã độc, Facebook sẽ cung cấp các giải pháp quét virus miễn phí từ các đối tác đáng tin cậy.
Facebook cũng đã xóa nhiều liên kết nguy hại trong số các liên kết này khỏi nền tảng của và sẽ tiếp tục việc này nếu xác định có thêm các liên kết nguỵ hại được hệ thống phát hiện. Facebook có chia sẻ lời khuyên về cách giữ an toàn và liên kết đến các giải pháp quét virus tại địa chỉ facebook.com/help", đại diện truyền thông của Facebook tại Việt Nam thông tin.
Để bảo đảm an toàn thông tin và phòng tránh nguy cơ bị tấn công bởi mã độc, trước đó các chuyên gia Cục An toàn thông tin khuyến nghị người dùng cần cảnh giác và không mở các tập tin hay đường dẫn lạ được gửi qua Facebook Messenger hay bất kỳ ứng dụng truyền thông nào khác, ví dụ như Viber, Zalo, thư điện tử...
Nếu nhận được các thông tin (tập tin hoặc đường dẫn) lạ, người dùng có thể thông báo hoặc gửi thông tin về Cục An toàn thông tin để Cục tổng hợp và phân tích, cảnh báo khi có những dấu hiệu, nguy cơ tấn công mạng mới.
Đối với những người dùng đã bị lây nhiễm mã độc đào tiền ảo, các chuyên gia khuyến nghị cần cài đặt và cập nhật các phần mềm phòng, chống mã độc, virus để phát hiện và ngăn chặn, loại bỏ mã độc; đồng thời thực hiện đổi mật khẩu Facebook.
Mã độc đào tiền ảo được các chuyên gia nhận định là có dấu hiệu bùng nổ trong năm 2017. Theo đó, 2 hình thức tấn công phổ biến nhất được hacker sử dụng để tấn công nhằm biến máy tính người dùng thành công cụ đào tiền ảo, đó là khai thác lỗ hổng website và lợi dụng mạng xã hội để phát tán virus.
Cụ thể, với hình thức khai thác lỗ hổng website, hacker thường chọn các website có nhiều người sử dụng để tấn công và cài mã độc có chức năng đào tiền ảo lên đó; và khi người dùng truy cập vào các website này, mã độc sẽ được kích hoạt. Hình thức thứ hai cũng được hacker sử dụng khá phổ biến để phát tán virus đào tiền ảo là thông qua mạng xã hội; sau khi lây nhiễm, mã độc sẽ âm thầm sử dụng tài nguyên của máy nạn nhân để chạy các chương trình đào tiền ảo.
Cũng theo dự báo của các chuyên gia, trong thời gian tới hình thức đào tiền ảo bằng cách phát tán virus có xu hướng tiếp tục bùng nổ thông qua Facebook, email, qua lỗ hổng hệ điều hành, USB.