Bkav cảnh báo rằng họ đã nhận được rất nhiều thông báo của người sử dụng internet ở Việt Nam việc họ bị tấn công bởi các email chứa mã độc có tiêu đề mang nội dung quan trọng. Ví dụ như: Thông điệp của thủ tướng chính phủ; Diễn biến hội nghị TW 11… Các e-mail này thường đính kèm file word văn bản khiến mọi người kém cảnh giác và click vào để xem nội dung.
Ở các email nói trên, người gửi đã cố tình tạo tên hòm thư với các chữ viết tắt rất dễ được hiểu là của cơ quan trung ương như btctw (Ban tổ chức Trung ương) hay vpcp (Văn phòng Chính phủ) hòng lừa người nhận.
Và chỉ cần một cú click chuột, máy tính của bạn đã “xong đời”. Thậm chí, có trường hợp hacker còn tìm cách đánh cắp hòm thư có thật của tổ chức nào đó để gửi thư, tạo niềm tin cho người nhận.
Bkav vừa mới cho hay, qua kết quả phân tích của Bkav cho thấy, mã độc được điều khiển qua domain từ Trung Quốc, sử dụng địa chỉ IP giả khiến việc giám sát mạng thông thường không thể phát hiện địa chỉ máy chủ thật của hacker . Theo Bkav, đây là một loại mã độc RAT (Remote Access Trojan). Hacker khai thác lỗ hổng CVE-2012-0158 của Microsoft Office để chèn mã độc vào tập tin văn bản. Người sử dụng sau khi tải, mở tập tin này, virus sẽ cài 3 thành phần độc hại vào hệ thống của thiết bị, bao gồm LMS.exe; dbghelp.dll và ticrf.rat.
Khi được khởi chạy, virus sẽ kết nối tới C&C Server (máy chủ điều khiển) có địa chỉ “home.dubkill.com.” Tên miền này được đăng ký bởi một công ty của Trung Quốc.
Loại virus này cho phép hacker kiểm soát, chiếm quyền điều khiển máy tính của nạn nhân từ xa. Như vậy, tin tặc có thể thu thập dữ liệu, ghi các thao tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại… của máy tính nạn nhân.
Qua phân tích, Bkav thông tin, mã nguồn của virus này tương tự với virus “Biển đông” xuất hiện tháng 7-2014. Đồng thời máy chủ điều khiển cũng cùng thuộc tên miền dubkill.com (máy ch
