Một chuyên gia bảo mật mới đây phát hiện ra 5 tiện ích chặn quảng cáo khả nghi trên kho phần mềm cho trình duyệt Chrome của Google. Tổng số lượt tải về và cài đặt của 5 chương trình này lên tới hơn 20 triệu người.

Các phần mềm này thường có quyền “xem” mọi thứ mà người dùng làm trên mạng, cho phép kẻ tạo ra chúng ăn cắp tất cả thông tin của nạn nhân nhập vào những website họ ghé qua, kể cả mật khẩu, lịch sử truy cập, tài khoản ngân hàng…

Andrey Meshkov, đồng sáng lập công ty Adguard là người phát hiện ra vấn đề với 5 tiện ích mở rộng nói trên. Ông cho biết thực tế đây là các chương trình nhái của phần mềm chuẩn có tên Ad Blockers.

Những kẻ tạo ra các tiện ích nhái trên sử dụng những từ khóa tìm kiếm phổ biến trên tên sản phẩm và phần mô tả nhằm tăng khả năng tiếp cận người dùng.

Sau khi Meshkov phát hiện ra vấn đề, ông lập tức báo cáo lên Google và hãng đã nhanh chóng gỡ toàn bộ ứng dụng khả nghi ra khỏi kho tiện ích cho trình duyệt.

Nếu người dùng đang sử dụng các tiện ích dưới đây cần gỡ ngay khỏi trình duyệt Chrome: AdRemover for Google Chrome (hơn 10 triệu người dùng), uBlock Plus (hơn 8 triệu người dùng), Adblock Pro (nhái, hơn 2 triệu người dùng), HD for YouTube (hơn 400.000), Webutation (hơn 30.000).

Meshkov đã tải chương trình AdRemover về và phân tích, phát hiện ra đoạn mã độc ẩn bên trong một phiên bản được chế lại của jQuery, một thư viện JaveScript phổ biến. Mã này có mục đích gửi thông tin các website mà người dùng truy cập về một máy chủ điều khiển từ xa.

Nội bộ, điều duy nhất các ứng dụng này làm là:

chrome.runtime.onInstalled.addListener: sau khi ứng dụng được cài đặt, trang web này sẽ được mở trong Chrome.
chrome.app.runtime.onLaunched.addListener: khi nó được khởi chạy, trang web này được mở trong Chrome.

URL đang được thay đổi. Đây là những liên kết được dẫn đến cho đến nay:

hxxp: //www.appforbrowsers.com/adguard.html
hxxp: //www.surprisess.com/adguard.html
hxxp: //www.appforchrome.com/adguard.html

Và có một số người khác nói rằng, sau khi đi đến một số loại tập hợp ứng dụng, chuyển hướng đến AdBlock thực.

hxxp: //prodownnet.info/adblock-super/
hxxp: //appstoreonline.blogspot.com/search/label/adblock%20chrome
hxxp: //appstoreonline.blogspot.com/search/label/adblock%20youtube

Hầu hết trong số họ mở các trang web khuyến khích người dùng tải xuống một chương trình có tên Adguard. Trình chặn quảng cáo giả định cho PC có phần mở rộng riêng cho các trình duyệt khác nhau. Phần mềm quảng cáo này có được cải trang thành phần mềm chống phần mềm quảng cáo không? Không phải là một câu trả lời dễ dàng. Google chặn trang web nếu được truy cập bằng Chrome, ít nhất vài ngày trước. Nó có nghĩa là Google (và có thể chỉ là họ) suy nghĩ hoặc nghĩ rằng một ngày nào đó URL này phải nằm trong một danh sách đen.

Tiện ích khả nghi này sau đó nhận các lệnh từ máy chủ trên, thực thi lệnh và có thể thay đổi hoạt động của trình duyệt. Để tránh bị phát hiện, các lệnh này được ẩn trong một bức ảnh trông có vẻ vô hại.

PUBG Ransomware được phát hiện bởi MalwareHunterTeam có khả năng mã hóa tất cả các tập tin của nạn nhân, bao gồm hình ảnh, nhạc hoặc tài liệu và từ chối trả lại chúng cho đến khi người dùng chấp nhận chơi một trận PUBG của Battlegrounds trong một giờ.

“Tập tin của bạn được mã hóa bởi PUBG Ransomware! Nhưng đừng lo lắng! Sẽ không phải là khó để mở khóa nó. Tôi không muốn tiền! Chỉ cần chơi PUBG trong 1 giờ”, nội dung thông điệp của kẻ phát tán mã độc này cho biết.

Về cơ bản ransomware này không nguy hiểm như các ransomware còn lại. Trong thực tế, bạn chỉ cần chạy PUBG trong một vài giây để kích hoạt giải mã mà không phải là một giờ, do đó chỉ cần chơi nó là đủ để giải mã các tập tin. Và nếu không muốn bị làm phiền bởi việc chơi game, cửa sổ pop-up bật lên cũng cung cấp một mã khôi phục giúp mở khóa nội dung của bạn.

Tất nhiên không phải ai cũng cài sẵn PUBG trong máy. Trong trường hợp này, việc bạn cần làm là nhìn lên cửa sổ ransomware, sao chép nội dung “restore code” – đoạn mã s2acxx56a2sae5fjh5k2gb5s2se – và dán vào textbox ngay bên dưới để mở khoá các tập tin!

Có vẻ như ransomware này chỉ mang tính chất trêu đùa là chính. Tuy nhiên, cũng có khả năng có một con trojan thật sự ẩn sâu bên trong ransomware, và nó đã âm thầm cài đặt vào máy tính người dùng, chờ cho đến 6 tháng sau (như một số trường hợp đã từng có trước đây) khi người dùng mất cảnh giác để bắt đầu tấn công. Do đó, bạn không nên cố ý lây nhiễm ransomware này lên máy tính của mình để… xem cho biết, ngay cả khi bạn là một fan cứng của PUBG.

Mã độc tống tiền GandCrab được phát tán thông qua bộ công cụ khai thác lỗ hổng RIG. Khi bị lây nhiễm, toàn bộ các tập tin dữ liệu trên máy người dùng sẽ bị mã hóa và phần mở rộng của tập tin bị đổi thành *.GDCB hoặc *.CRAB. Đồng thời, mã độc sinh ra một tệp CRAB-DECRYPT.txt nhằm yêu cầu và hướng dẫn người dùng trả tiền chuộc.
Để giải mã dữ liệu, người dùng phải nộp 400 – 1.000 USD bằng cách thanh toán qua tiền điện tử Dash (một đồng tiền mã hóa tương tự Bitcoin). Tuy nhiên, theo chuyên gia bảo mật độc lập Phạm Đức Hoàng, việc thanh toán tiền như yêu cầu không thể đảm bảo việc lấy lại dữ liệu cho người dùng.
VNCERT xác nhận đang có chiến dịch phát tán mã độc tống tiền GandCrab tấn công nhiều nước, trong đó có Việt Nam. Cơ quan này cũng khẳng định mã độc trên “rất nguy hiểm”.
Bạn có thể xem toàn bộ công văn ở link bên dưới.
http://www.vncert.gov.vn/files/CV85_GrandCrab.pdf
Những máy chủ điều khiển mã độc là politiaromana.bit, malwarehunterteam.bit và gdcb.bit (danh sách được cập nhật tới 5/4).
Theo khuyến cáo của VNCERT, để tránh mã độc người dùng cần cảnh giác không click vào các liên kết (link) cũng như các tập tin đính kèm trong email có chứa các tập tin dạng .doc, .pdf, .zip… được gửi từ người lạ, thậm chí là cả email được gửi từ người quen nhưng có cách đặt tiêu đề hoặc ngôn ngữ khác lạ.

Theo báo cáo mới nhất của Seattle Times, một nhà máy sản xuất của Boeing tại Charleston, Nam Carolina đã bị mã độc WannaCry tấn công vào hôm thứ 4 vừa qua. Kỹ sư trưởng Mike VanderWel của Boeing đã phải gửi một thông báo tới toàn bộ công ty, kêu gọi tạm thời dừng tất cả các hoạt động.

Một số bộ phận quan trọng thuộc dây chuyền sản xuất và lắp ráp tự động của Boeing, như một bộ phận có tên là 777 đã không thể hoạt động. Boeing lo ngại mã độc có thể đã bị lây nhiễm trong các thiết bị sử dụng cho việc thử nghiệm các chức năng của máy bay, do đó có thể dẫn đến việc lây lan sang hệ thống phần mềm của máy bay.

Mã độc WannaCry đã từng gây chấn động toàn cầu vào tháng 12 năm 2017, sau đó sự việc tạm thời lắng xuống. Các vụ tấn công trên toàn cầu đã gây ra rất nhiều thiệt hại, khiến dữ liệu bị mã hóa và không thể sử dụng được, làm tê liệt nhiều hệ thống quan trọng của bệnh viện và ngân hàng.

Các hacker đứng sau mã độc WannaCry yêu cầu những khoản tiền chuộc bằng Bitcoin, để cung cấp công cụ giải mã dữ liệu. Hiện tại vẫn có nhiều biến thể của mã độc WannaCry tồn tại và tiếp tục đe dọa tấn công. Microsoft cũng đã phải phát hành bản vá lỗ hổng để ngăn chặn mã độc này tấn công, nhưng có vẻ như các bản vá vẫn chưa thể đảm bảo an toàn tuyệt đối.

Facebook đang lâm vào một cuộc khủng hoảng chưa từng có liên quan tới dữ liệu người dùng. Cuối tuần trước, giới truyền thông đưa tin Facebook đã để Cambridge Analytica tiếp cận trái phép dữ liệu của 50 triệu người dùng Mỹ trong chiến dịch bầu cử tổng thống năm 2016. Sự việc đang thu hút sự chú ý của toàn thế giới và ngày càng phức tạp.

Cambridge Analytica là gì?

Cambridge Analytica là công ty được nhóm chiến dịch tranh cử của Tổng thống Mỹ – Donald Trump thuê năm 2016. Công ty này được rót vốn một phần nhờ tỷ phú đầu tư Robert Mercer và gia đình – nhà tài trợ cho Đảng Cộng hòa của ông Trump.
Cambridge Analytica cũng có nhiều mối quan hệ với các cựu cố vấn và cố vấn hiện tại của ông Trump. Cựu chiến lược gia trưởng của Nhà Trắng – Steve Bannon là cựu phó giám đốc công ty này. Cố vấn Kellyanne Conway của Nhà Trắng cũng từng cố vấn cho họ.
Cambridge Analytica còn hợp tác với Công ty truyền thông SCL Group (Anh) – chuyên cung cấp dữ liệu, phân tích và chiến lược cho các chính phủ và tổ chức quân sự trên thế giới. Phần giới thiệu trên Twitter của Cambridge Analytica cho biết họ cung cấp dịch vụ “tìm đối tượng mục tiêu theo hành vi”, cũng như “hỗ trợ các chiến dịch chính trị” và “hỗ trợ kỹ thuật số”.

Tại sao Cambridge Analytica lại là tâm điểm chú ý?

Scandal bùng phát từ cuối tuần trước, khi New York Times và truyền thông Anh đưa tin Cambridge Analytica cố tác động lên cử tri Mỹ bằng việc dùng thông tin lấy được của 50 triệu người dùng Facebook. Facebook thì cho biết số dữ liệu này đã được thu thập từ vài năm trước, một cách hợp pháp, bởi giáo sư tâm lý học Aleksandr Kogan.
Khi đó, Facebook cho phép ông Kogan thu thập thông tin từ những người download ứng dụng của ông này, để làm một bài test về tính cách. Người dùng Facebook cũng cho Kogan quyền thu thập thông tin bạn bè của họ.
Tuy nhiên, sau đó, Kogan lại đưa số dữ liệu này cho SCL Group và Cambridge Analytica, khi ấy đang phát triển các công cụ có thể sử dụng để tác động lên cử tri. Facebook cho biết việc chuyển dữ liệu này là phạm luật. Cambridge Analytica khẳng định đã xóa hết dữ liệu năm 2015 khi họ nhận ra đã vi phạm quy định của Facebook.
Từ cuối tuần trước, công ty này vẫn liên tục bảo vệ mình trên Twitter. “Quảng cáo không mang tính cưỡng ép. Con người thông minh hơn chứ”, họ cho biết.

Diễn biến mới nhất

Facebook đã phong tỏa tài khoản mạng xã hội của Cambridge Analytica và SCL, đồng thời yêu cầu Cambridge Analytica đồng ý một cuộc kiểm tra để xác định toàn bộ dữ liệu đã bị xóa bỏ. Cambrige Analytica đồng ý, nhưng cuộc kiểm tra đã bị Anh hoãn lại.
Văn phòng Ủy ban Thông tin Anh thông báo đang chờ lấy lệnh của tòa án để thực hiện cuộc điều tra của chính cơ quan này. Còn Facebook sẽ thực hiện điều tra riêng.
Trong khi đó, nội bộ Cambridge Analytica cũng đang lục đục. Công ty này đã đình chỉ chức vụ với CEO Alexander Nix từ hôm qua, sau các báo cáo cho thấy ông từng bàn bạc về hối lộ và gài bẫy. Lệnh đình chỉ này có hiệu lực ngay lập tức, “để chờ một cuộc điều tra độc lập, toàn diện”, công ty cho biết trong thông báo.
Thông báo này được đưa ra chỉ ngay trước khi kênh Channel 4 News của Anh đến giờ phát sóng một bản tin trong series tìm hiểu các việc làm của công ty này. Một đoạn video rò rỉ hôm qua cho thấy Nix khẳng định đã gặp ông Trump “nhiều lần” và công ty này phụ trách việc thu hút sự chú ý cho các hoạt động tranh cử của ông.
“Chúng tôi đã làm tất cả việc nghiên cứu số liệu, phân tích, chọn đối tượng. Chúng tôi chạy toàn bộ chiến dịch kỹ thuật số, trên TV, và dữ liệu của chúng tôi cung cấp thông tin làm chiến lược”, Nix nói.
Trong một video khác, Alex Tayler – Giám đốc dữ liệu của Cambridge Analytica cũng nói rằng các nghiên cứu của công ty này đứng sau việc ông Trump thắng phiếu đại cử tri.
“Ông Trump thua 3 triệu phiếu phổ thông, nhưng lại thắng phiếu đại cử tri, đó là nhờ dữ liệu và nghiên cứu. Đó là lý do vì sao ông ấy đắc cử”, Tayler cho biết.
Trong một thông báo, Nix phủ nhận công ty này tham gia hối lộ hoặc gài bẫy. Cambridge Analytica cũng cho biết sẽ có một điều tra độc lập. “Các bình luận của ông Nix do Channel 4 bí mật ghi lại được, cùng các cáo buộc khác không đại diện cho giá trị hay hoạt động của công ty. Và việc đình chỉ cho thấy sự nghiêm túc của chúng tôi với sự vi phạm này”, thông báo cho biết.

Cuộc khủng hoảng tại Facebook

Sự việc cũng khiến Facebook chịu ảnh hưởng nghiêm trọng. Mạng xã hội lớn nhất thế giới đang đối mặt với sự dò xét và ngờ vực từ các nhà làm luật cũng như công chúng thế giới. Chính trị gia tại cả Mỹ, Anh và EU đều đang kêu gọi Facebook cùng CEO Mark Zuckerberg trả lời các câu hỏi liên quan đến Cambridge Analytica. Các chuyên gia nhận định, công ty này sẽ chẳng thể làm được gì nếu như bản thân Facebook không “bật đèn xanh” hoặc không thực sự mạnh tay trước những thương vụ chính trị như vậy.
Cổ phiếu Facebook đã mất giá 6,8% hôm thứ Hai – mạnh nhất gần 4 năm. Hôm qua, mã này tiếp tục mất hơn 4,4% sau thông tin Ủy ban Giao dịch Liên bang Mỹ được cho là đang điều tra sự việc, và Giám đốc Bảo mật của Facebook – Alex Stamos sắp nghỉ việc. Tổng cộng trong 2 phiên đầu tuần, cổ phiếu Facebook đã giảm từ 185 USD xuống 165 USD, khiến vốn hóa mất hơn 60 tỷ USD.
Bản thân CEO Mark Zuckerberg cũng bị chỉ trích vì kỹ năng lãnh đạo kém trong sự việc này. Nhà đầu tư công nghệ nổi tiếng Jason Calacanis cho rằng khả năng ứng phó khủng hoảng của Zuckerberg là “rất tệ” và nên “từ chức CEO để COO Sheryl Sandberg lên thay”.

Không Lực Một (Air Force One) Chiếc phi cơ phản lực của Không lực Mỹ chuyên chở Tổng thống Mỹ.

Trong thông báo mới đây, Không quân Mỹ đã ban hành chỉ dẫn cho các phi công cần sớm nâng cấp hệ điều hành máy tính lên Windows 10. Việc sớm nâng cấp lên Windows 10 giúp đảm bảo máy tính tránh bị tấn công mạng.
Trung tá Brian Snyder, trưởng ban hành động, chính sách và chiến lược không gian mạng của không quân Mỹ khẳng định: “Việc dần nâng cấp lên Windows 10 là điều vô cùng quan trọng đối với Không lực Mỹ. Windows 10 mang tới nhiều tính năng bảo mật mới và là phiên bản Windows an toàn nhất hiện nay. Ngoài ra, các căn cứ và giới lãnh đạo cần đảm bảo chắc chắn phi đội liên lạc và không gian mạng luôn nhận được sự hỗ trợ để hoàn thành xuất sắc nhiệm vụ“.

Nhiều hệ thống không thể chạy Windows 10

Hiện chưa có thông tin cụ thể về số lượng máy tính của Không quân Mỹ được nâng cấp lên Windows 10. Tuy nhiên cơ quan này tiết lộ, Windows 10 sẽ có “tác động tích cực đến bảo mật” đối với một số chương trình truy cập đặc biệt của Bộ Quốc phòng, hệ thống nhiệm vụ, chiến lược, chiến thuật, nghiên cứu,…Chính vì vậy, việc nâng cấp lên Windows 10 là điều vô cùng cần thiết để duy trì liên lạc và tác chiến trong quân đội.

Microsoft và Bộ quốc phòng Mỹ đã ký biên bản hợp tác vào tháng 2/2016 với mục tiêu nâng cấp không dưới 4 triệu máy tính chạy Windows 10.

Quá trình chuyển đổi dự kiến sẽ chậm hơn so với kế hoạch do không phải tất cả phần cứng máy tính có thể tương thích với Windows 10. Đây chắc chắn là một trở ngại lớn với các hệ thống máy tính cũ.
Cuối cùng, Không lực Mỹ khẳng định, tất cả máy tính không cài Windows 10 sẽ đều bị kiểm soát và chặn truy cập vào hệ thống của quân đội nhằm tránh nguy cơ bị tấn công mạng.

Mạng internet phát triển cũng là mảnh đất cho hacker hoành hành. Dự đoán khác về các mối đe dọa an ninh mạng trong năm 2018:
1. Phần mềm độc hại di động tiên tiến hơn: Trong vài năm qua, cộng đồng an ninh mạng đã phát hiện ra phần mềm độc hại di động tiên tiến, khi kết hợp với các lỗ hổng dễ bị khai thác thì chúng tạo thành một vũ khí mạnh mẽ.
2. Các vụ tấn công phá hoại sẽ tiếp tục gia tăng: Các cuộc tấn công Shamoon 2.0 và StoneDrill được báo cáo vào đầu năm 2017, và cuộc tấn công ExPetr/NotPetya hồi tháng 6 cho thấy sự phát triển của các cuộc tấn công phá hoại.
3. Nhiều cuộc tấn công sẽ bắt đầu từ việc do thám: Những kẻ tấn công sẽ dành nhiều thời gian hơn cho công tác do thám và sử dụng các bộ công cụ độc hại để định hướng thực hiện trước một cuộc khai thác cụ thể.
4. Các cuộc tấn công tinh vi “ăn sâu” vào trình điều khiển (firmware): Kaspersky Lab dự đoán sẽ có nhiều nhóm tin tặc tạo ra phần mềm độc hại mà có thể khởi chạy trước bất kỳ giải pháp bảo mật nào, thậm chí khởi chạy trước hệ điều hành.
5. Nhiều router và modem bị hack: Đây là một điểm kết nối quan trọng mà những kẻ tấn công nhắm vào để có quyền truy cập vào hệ thống mạng của nạn nhân.
6. Tấn công dịch vụ y tế: Cũng trong năm 2018, bọn hacker sẽ nhắm mục tiêu vào lĩnh vực y tế với mục đích tống tiền, phá hoại. Vấn đề này càng tệ hơn khi số lượng thiết bị y tế chuyên khoa có kết nối mạng tăng lên.
7. Tấn công tài chính: Đối với các dịch vụ tài chính, dù chưa bước qua năm 2018 nhưng Kaspersky Lab đã đưa ra dự báo loại hình tấn công này sẽ giúp hacker bỏ túi hàng tỉ USD.
8. Mã hóa dữ liệu đòi tiền chuộc: Các hệ thống công nghiệp có nguy cơ bị tấn công bởi ransomware rất lớn trong năm 2018 do chúng thường xuyên kết nối với mạng internet.
9. Mã độc “đào” tiền ảo: Tin tặc sẽ nhắm mục tiêu vào các công ty nhằm mục đích cài đặt công cụ “đào” tiền ảo.

Kaspersky Lab cho biết thêm, các cuộc tấn công chuỗi cung ứng như Shadowpad và ExPetya vào năm 2017 cho thấy phần mềm của bên thứ ba dễ dàng bị lợi dụng để xâm nhập vào doanh nghiệp. Mối đe dọa này dự kiến sẽ tăng lên vào năm 2018, vì một số mối đe dọa nguy hiểm bắt đầu áp dụng cách tiếp cận này (lợi dụng phần mềm hợp pháp).

Ông Juan Andrés Guerrero-Saade, nhà nghiên cứu an ninh thuộc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab cho biết: “Các cuộc tấn công chuỗi cung ứng đã chứng minh rằng, đây chính là ác mộng như chúng ta đã từng giả thuyết trước đây. Các mối đe dọa tiên tiến đang tiếp cận các sản phẩm dễ bị xâm nhập, rồi tận dụng “cửa hậu” của phần mềm đó để phát tán mã độc và tấn công mạng. Thậm chí các cuộc tấn công chuỗi cung ứng còn cho phép kẻ tấn công truy cập thành công vào nhiều doanh nghiệp khác trong các lĩnh vực quan trọng”.