Một nhóm tội phạm mạng đã chiếm quyền điều khiển gần 1 triệu máy tính trên khắp thế giới trong suốt 2 năm qua và thực hiện việc giả mạo các trang kết quả tìm kiếm bằng một phần mềm chứa mã độc thông qua các proxy.
Các chuyên gia bảo mật đến từ Romania dựa trên Bitdefender tiết lộ về sự hiện của các botnet tạo ra các nhấp chuột gian lận vô cùng lớn, mà các họ đặt tên là Million-Machine Campaign.
Những malware được biết đến như Redirector.Paco đã lây nhiễm trên 900000 máy tính trên toàn thế giới kể từ khi nó xuất hiện lần đầu tiên vào năm 2014. Trojan Redirector.Paco lây nhiễm khi người dùng tải về và cài đặt phiên bản bị nhiễm độc của các chương trình phần mềm phổ biến như WinRAR, YouTube Downloader, KMSPico, Connectify, hoặc Stardock Start8. Một khi bị nhiễm, Paco đổi các khóa registry của máy tính và tạo thêm hai mục giả mạo mới là “Adobe Flash Update” và “Adobe Flash Scheduler” để khởi chạy các phần mềm độc hại mỗi khi máy tính khởi động. Bên cạnh đó, các phần mềm này cũng tải xuống tập tin JavaScript và thực hiện một file PAC (Proxy Auto Configuration) để kiểm soát lưu lượng Web, kiểm soát lưu lượng qua một máy chủ đang bị điều khiển bởi các hacker.
Khi người dùng máy tính bị nhiễm Paco thì khi thực hiện thao tác truy vấn từ các công cụ tìm kiếm phổ biến như Google, Bing hay Yahoo thì Paco sẽ giả mạo các trang kết quả tìm kiếm thành các các trang web giả mạo có giao diện giống hệt trang web gốc. Một điều vô cùng đặc biệt là ngay cả các kết quả có kết nối HTTPS cũng bị giả mạo. Để làm được điều này thì các phần mềm này đã sử dụng một chứng chỉ miễn phí – DO_NOT_TRUST_FiddlerRoot để tránh việc trình duyệt của người dùng hiển thị lỗi HTTPS.
Dù đã cố gắng giả mạo đến mức hoàn hảo nhưng nếu chú ý thì người dùng vẫn có thể nhận biết được ra các trang giả mạo với các thông báo “Waiting for proxy tunnel” hay “Downloading proxy script” khi chờ kết nối đến trang web giả mạo. Một điểm nhận biết nữa là thời gian tải trang sẽ lâu hơn bình thường và mà vàng chữ “O” trong từ Google không hiển thị ở một số trang.
Chuyên gia bảo mật của Bitdefender là Alexandra Gheorghe nhận định: Mục đích là để giúp các tội phạm mạng kiếm được tiền từ chương trình AdSense.
Các hãng bảo mật cho biết đa số nạn nhân là từ Ấn Độ, Malaysia, Hy Lạp, Hoa Kỳ, Ý, Pakistan, Brazil, và Algeria. Để tránh các mối nguy hiểm từ không gian mạng bạn nên cập nhật hệ thống cũng như các công cụ diệt virus thường xuyên và hãy chú ý đến những biểu hiện khác thường đến máy tính của mình.
Huỳnh Mai Anh Kiệt (THN)
