Những video ngắn trên các nền tảng mạng xã hội như TikTok hay Instagram Reels đang trở thành công cụ mới để các tội phạm mạng phát tán mã độc, lợi dụng tâm lý muốn sử dụng miễn phí các phần mềm và dịch vụ trả phí như Spotify Premium, Microsoft Office hay Windows có bản quyền.

Theo các nhà nghiên cứu bảo mật từ ReversingLabs, tin tặc đang triển khai nhiều chiến dịch lừa đảo tinh vi thông qua các video hướng dẫn giải quyết vấn đề của người dùng. Thay vì sử dụng email lừa đảo truyền thống, kẻ xấu hiện đang chuyển sang khai thác sức lan tỏa của mạng xã hội để dụ người dùng tự cài đặt mã độc lên thiết bị của mình.

Video hướng dẫn giả mạo, hậu quả thật

Các chuyên gia đã phát hiện 2 chiến dịch đang hoạt động mạnh, trong đó người dùng bị dụ để chạy các lệnh PowerShell hoặc truy cập các trang tải phần mềm độc hại. Xu hướng này cũng đã được nhiều tổ chức nghiên cứu bảo mật và cơ quan an ninh mạng quốc gia ghi nhận.

Hình ảnh một video dụ người dùng với 1.699 lượt lưu, 1.581 lượt thích và 971 lượt chia sẻ. Nguồn: ReversingLabs

Những video lừa đảo thường được đầu tư khá chuyên nghiệp, mang phong cách giống các video hướng dẫn kỹ thuật chính thống. Chúng hứa hẹn giúp người xem kích hoạt miễn phí dịch vụ nghe nhạc cao cấp Spotify Premium, bẻ khóa Microsoft Office hoặc Windows chỉ bằng vài bước đơn giản.

Các tài khoản phát tán nội dung này thường sử dụng những cái tên như “windows.tips” hoặc “windows.insights”, đồng thời gắn các từ khóa liên quan đến Windows và Office để xuất hiện bên cạnh các video hướng dẫn khắc phục sự cố hợp pháp.

Người xem sẽ được yêu cầu mở PowerShell - một công cụ quản trị Windows chính thống - rồi sao chép và dán các đoạn lệnh do tin tặc cung cấp. Tuy nhiên, thay vì kích hoạt phần mềm như quảng cáo, các lệnh này sẽ âm thầm tải xuống và thực thi mã độc từ xa trên máy tính của người dùng.

Mã độc Vidar chuyên đánh cắp thông tin cá nhân

Mã độc được sử dụng trong các chiến dịch này được xác định là Vidar, một loại infostealer (mã độc đánh cắp thông tin) nổi tiếng.

Sau khi lây nhiễm thành công, Vidar có khả năng thu thập hàng loạt dữ liệu nhạy cảm từ thiết bị của nạn nhân, bao gồm:

- Mật khẩu đã lưu trên trình duyệt web.

- Dữ liệu tự động điền (Autofill).

- Cookie trình duyệt web.

- Ví tiền điện tử.

- Dữ liệu xác thực 2 lớp (2FA).

- Thông tin từ trình duyệt web TOR.

Toàn bộ dữ liệu đánh cắp được sau đó sẽ được gửi về các máy chủ do tin tặc kiểm soát.

Các nghiên cứu về những cuộc tấn công tương tự trên TikTok còn cho thấy các đoạn mã độc này có thể tự động thêm vào phần ngoại lệ (Exclusions) của Windows Defender nhằm vô hiệu hóa một phần khả năng phát hiện của phần mềm bảo mật, giúp chúng tồn tại lâu hơn trên máy tính của người dùng.

Cách bảo vệ bản thân trước các chiêu trò lừa đảo.

Các chuyên gia khuyến cáo người dùng nên áp dụng một số biện pháp an toàn cơ bản để tránh trở thành nạn nhân:

- Chỉ tải phần mềm từ website chính thức của nhà phát triển.

- Cảnh giác với các lời mời chào sử dụng miễn phí hoặc bẻ khóa các phần mềm trả phí.

- Không làm theo hướng dẫn trên các trang web hoặc video khi chưa hiểu rõ nội dung, nhất là khi được yêu cầu chạy lệnh hệ thống hoặc sao chép - dán mã lệnh vào máy tính.

- Kiểm tra kỹ các tập tin tải về để bảo đảm đúng với tập tin mong muốn.

- Xác minh nhà phát hành và chữ ký số của tập tin trước khi chạy. Trên Windows, có thể kiểm tra bằng cách nhấp chuột phải vào tập tin, chọn Properties > Digital Signatures.

- Sử dụng phần mềm chống mã độc được cập nhật thường xuyên và có khả năng bảo vệ theo thời gian thực để chặn mã độc như infostealer trước khi nó có thể chạy.

Các chuyên gia cũng lưu ý rằng một chữ ký số hợp lệ không đồng nghĩa tuyệt đối với việc tập tin an toàn, nhưng những tập tin thiếu chữ ký hoặc có dấu hiệu bất thường thường là tín hiệu cảnh báo cần chú ý.

Trong bối cảnh các nền tảng mạng xã hội ngày càng bị khai thác nhiều hơn để phát tán mã độc, người dùng cần nâng cao cảnh giác trước những video hứa hẹn cung cấp miễn phí các dịch vụ cao cấp trả phí. Chỉ một vài thao tác tưởng chừng vô hại cũng có thể khiến toàn bộ dữ liệu cá nhân, tài khoản trực tuyến và tài sản số rơi vào tay tội phạm mạng.

LÊ PHI (Theo Malwarebytes)