Một trang chiếu phim trực tuyến cho xem thử miễn phí, nhưng cuối cùng chẳng có bộ phim nào, chỉ có “mã độc miễn phí”.
BravoMovies - Cái tên mới nhất gia nhập làng giải trí trực tuyến (streaming) không sở hữu một thư viện đồ sộ các bộ phim kinh điển hay loạt phim độc quyền hấp dẫn. Trái lại, nó… không chiếu phim, dù bạn muốn thế nào đi nữa!
Nhưng những bộ óc sáng tạo đứng đằng sau BravoMovies biết mình đang làm gì. Những tin tặc này không xây dựng nền tảng để mang lại một trải nghiệm giải trí tại nhà đặc sắc, mà nhằm mục đích cài phần mềm độc hại vào máy tính của bạn.
Chiến dịch BravoMovies đã được manh nha từ tháng 5 vừa qua, và bị đội ngũ chuyên gia của công ty bảo mật ProofPoint phát hiện ra. Nhìn sơ qua thì trang web có rất nhiều điểm vô lý như những tấm poster các bộ phim không có thật hay các lỗi chính tả “ngớ ngẩn” - nhưng điều đó cho thấy các tin tặc sẵn sàng đầu tư mọi thứ để hại bạn.
Hình ảnh hacker lâu nay thường được gán với những thư điện tử mạo danh hay các tập tin đính kèm chứa mã độc. Nhưng các dịch vụ email đã trở nên vững vàng hơn trước những “chiêu trò” kiểu này. Các email hack thường bị phát hiện và chặn lại. Vì vậy kẻ gian đang đi tìm những cách khác.
Kênh giải trí giả mạo trên chỉ là một phần trong một quy trình phức tạp bao gồm bảy bước để cài một đoạn mã độc có tên gọi là BazaLoader. Ban đầu, người dùng sẽ nhận được email thông báo về việc ưu đãi dùng thử BravoMovies, “một trong những kênh giải trí hàng đầu thế giới”, đã sắp hết hạn. Email này cũng nói, sau khi dùng thử, nếu thích và dùng tiếp thì khi đó mới bị trừ tiền. Email còn cung cấp số điện thoại để bạn có thể “huỷ dịch vụ” bằng một cuộc gọi.
Nếu liên lạc, bạn sẽ được chuyển máy tới “trung tâm chăm sóc khách hàng”, những người sẽ hướng dẫn bạn truy cập trang web BravoMovies. Tại phần “Những câu hỏi thường gặp”, bạn sẽ được chỉ cách “huỷ tài khoản dễ dàng” bằng hai click. Nhưng thực tế, click thứ nhất là một file excel sẽ âm thầm tải về máy, click thứ hai là mở một đoạn mã macro trong file excel. Hai click này đã hoàn thành cài đặt phần mềm độc hại BazaLoader vào máy bạn.
Quy trình có vẻ phức tạp hơn các chiêu lừa đảo truyền thống - điều đó nói lên thực trạng của vấn nạn tấn công mạng hiện nay. Theo Crane Hassold, Giám đốc cấp cao tại công ty bảo mật email Agari, việc phải tốn công sức như vậy cho thấy việc gửi email độc hại truyền thống không “sinh lời” nhiều.
Các trang web giả mạo đã trở thành một thủ đoạn chính của tội phạm mạng. Những kẻ lừa đảo đã tạo ra hàng trăm bản nhái của Netflix và Disney+ trong những năm gần đây. Trước đó, nhóm BazaLoader cũng đã tạo ra các trang web giả mạo, bao gồm cả việc mạo danh một nhà bán lẻ đồ lót một cách “thuyết phục”. Nhưng BravoMovies thực sự ở một “đẳng cấp” cao hơn.
Sherrod DeGrippo, Giám đốc cấp cao tại Proofpoint cho biết: “Chúng tôi chưa từng thấy toàn bộ trang web giải trí trực tuyến giả mạo được tạo ra trước đây. Đây rõ ràng là một cấp độ sáng tạo tiếp theo.”
Hassold cho biết thêm: “Chúng tôi đã từng thấy các trang lừa đảo được xây dựng trên các trình tạo trang web miễn phí - trông rất ngớ ngẩn nhưng những trang đó vẫn thành công. Nếu một trang web được xây dựng công phu như thế này, thì có lẽ người dùng không ‘thoát’ được”.
Phạm vi cũng như mục tiêu cuối cùng của trang web này vẫn chưa rõ ràng. Trước mắt chúng ta biết được rằng BazaLoader hoạt động như một “kẻ mở đường” cho các phần mềm độc hại khác. ProofPoint cho biết họ chưa tìm thấy dấu hiệu gì cho một cuộc tấn công tiềm năng thứ hai, nhưng BazaLoader có liên kết chặt chẽ với nhóm tin tặc đứng đằng sau phần mềm độc hại Trickbot khét tiếng.
Sự phức tạp của BravoMovies cũng có nhược điểm của nó, trong đó phải kể đến việc yêu cầu người dùng gọi điện thay vì nhấn vào một liên kết trên email như thông thường. Dù thế nào thì âm mưu này vẫn thực sự “tinh vi” và cho thấy tin tặc có thể làm bất kì điều gì để “móc” túi tiền của bạn.
Có thể bạn quan tâm