[HVA News] – Công cụ mã hóa Skype giả nhắm vào các nhà hoạt động chính trị Syria


Công cụ mã hóa Skype giả mạo nhắm vào các nhà hoạt động chính trị Syria, cung cấp spyware thay vì sự bảo mật

Người dịch: bolzano_1989 at hvaonline.net
Nguồn: http://www.hvaonline.net/hvaonline/posts/list/42287.hva

Chiến dịch tấn công trên Internet nhắm vào các nhà hoạt động chính trị đối lập Syria đã chuyển sang một hướng mới. Kể từ đầu năm đến nay, các nhà hoạt động chính trị đối lập Syria đã bị tấn công bằng cách sử dụng một số trojan, bí mật cài đặt phần mềm gián điệp vào máy tính bị lây nhiễm cũng như nhiều cuộc tấn công lừa đảo ăn cắp thông tin đăng nhập tài khoản YouTube và Facebook.

Trong tuần vừa rồi, blog Malware của TrendMicro đã mô tả một website tự nhận cung cấp phần mềm mã hóa Skype, nhưng thực ra là một trojan thực hiện cài đặt phần mềm quản lý máy tính từ xa (RAT) DarkComet 3.3, cho phép kẻ tấn công ghi lại các hoạt động của webcam, tắt chức năng thông báo của một số phần mềm chống virus, ghi lại các hoạt động bàn phím, đánh cắp mật khẩu và hơn cả là gửi những thông tin nhạy cảm đến một địa chỉ nằm trong dải địa chỉ IP của Syria.

Trong tuần này, EFF đã tìm thấy một website gần như giống hệt ở địa chỉ
hxxp://skype-encryption.sytes.net/
mà bạn có thể thấy trong các ảnh chụp màn hình dưới đây. 


Click “download” sẽ download ứng dụng mã hóa Skype giả mạo với tên
“Skype Encryption v2.1” như hình sau: 


Khi chạy, ứng dụng giả mạo này sẽ tạo một cửa sổ cho bạn những lựa chọn “Encrypt” và “DeCrypt” như hình sau: 

 

Khi bạn click “Encrypt” , ứng dụng giả mạo sẽ thông báo yêu cầu bạn chờ trong khi ứng dụng này mã hóa kết nối, như trong ảnh chụp màn hình dưới đây. Tuy nhiên, thực tế là ứng dụng này không mã hóa gì cả. Thay vì mã hóa traffic Skype của bạn, ứng dụng sẽ tải một trojan từ địa chỉ:
hxxp://216.6.0.28/SkypeEncryption/Download/skype.exe.
Đây cũng là địa chỉ IP Syria được sử dụng trong các tấn công được mô tả bởi TrendMicro, Symantec, Cyber Arabs, và một vài bài viết đăng trên blog của EFF khác.

 

Sau khi được cho là các kết nối của bạn đã được mã hóa, ứng dụng tạo một cửa sổ thông báo rằng: “Your Connections are Now Completely Encrypted ! ….. Enjoy” như ảnh chụp màn hình sau.

 

Trong khi đó, ứng dụng giả mạo này cài đặt công cụ quản lý máy tính từ xa (RAT) DarkComet 3.3 vào máy tính của bạn. DarkComet cho phép kẻ tấn công ghi lại các hoạt động của webcam, tắt chức năng thông báo của một số phần mềm chống virus, ghi lại các hoạt động bàn phím, đánh cắp mật khẩu từ máy tính của bạn.

Không như phiên bản DarkComet được mô tả trong bài viết của TrendMicro đã được phát hiện bởi một số phần mềm chống virus, phiên bản DarkComet này không được phát hiện bởi bất cứ phần mềm chống virus nào ở thời điểm bài này được viết. Cách tìm kiếm và loại bỏ DarkComet ra khỏi máy tính của bạn đã được thảo luận trong bài viết sau trên blog của EFF:
Campaign Targeting Syrian Activists Escalates with New Surveillance Malware 
https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware

EFF khuyến cáo những người Syria sử dụng Internet nên đặc biệt cẩn thận khi tải các phần mềm ứng dụng từ các website không quen thuộc. Dù website ứng dụng mã hóa Skype giả mạo trên có nhiều dấu hiệu hiển nhiên cho thấy đây không phải là website , từ lỗi chính tả của từ “encryption” (“mã hóa”) cho đến việc lạm dụng font Comic Sans MS, EFF tin rằng chúng ta có thể gặp những cuộc tấn công tinh vi hơn trong tương lai.

Bài viết này được dịch từ nguồn:
Fake Skype Encryption Tool Targeted at Syrian Activists Promises Security, Delivers Spyware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/05/fake-skype-encryption-tool-targeted-syrian-activists-promises-security-delivers

Các link đến các trang web chứa phần mềm độc hại trong bài viết đã được chỉnh sửa để không thể gây hại cho bạn đọc.

Các link tham khảo được dẫn trong bài viết:

Fake Skype Encryption Tool Targeted at Syrian Activists Promises Security, Delivers Spyware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/05/fake-skype-encryption-tool-targeted-syrian-activists-promises-security-delivers

Backdoor.Breut Technical Details | Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-021012-3004-99&tabid=2

How to Find and Protect Yourself Against the Pro-Syrian-Government Malware on Your Computer | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/03/how-find-syrian-government-malware-your-computer-and-remove-it

Campaign Targeting Syrian Activists Escalates with New Surveillance Malware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware

Fake YouTube Site Targets Syrian Activists With Malware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/03/fake-youtube-site-targets-syrian-activists-malware

Syrian Activists Targeted With Facebook Phishing Attack | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/03/pro-syrian-government-hackers-target-syrian-activists-facebook-phishing-attack

Fake Skype Encryption Service Cloaks DarkComet Trojan
http://blog.trendmicro.com/fake-skype-encryption-software-cloaks-darkcomet-trojan/

Cyber-arabs
http://www.cyber-arabs.com/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s