Thứ Tư vừa rồi, kênh truyền hình Amaq của Nhà nước Hồi giáo đã đưa tin rằng website của họ đã bị hack, kèm theo lời cảnh báo rằng trang web này sẽ có thể phát tán malware cho những máy truy cập.
“Cảnh báo! Trang web của Amaq đã bị thâm nhập và hiện trang đưa ra yêu cầu cài đặt một file virus dưới dạng một hệ thống cài đặt Flash. Xin các bạn hãy cẩn thận”. Đây là bản dịch từ thông báo của Amaq, được đăng tải qua Twitter bởi nhà nghiên cứu bảo mật độc lập Raphael Gluck.
Hình ảnh dòng cảnh báo từ phía Amaq
Dù hacker là ai, thì có vẻ họ cũng đã chiếm hoàn toàn trang web của Amaq và phát tán malware dưới một dạng khá cổ xưa: yêu cầu người truy cập cập nhật phần mềm Flash player của mình. Gluck đưa cho phóng viên Motherboard thấy con virus trên có hình dạng như thế nào: nó chỉ một tệp tin có tên “FlashPlayer_x86.exe” đơn giản, được đa số các phần mềm anti-virus nhận dạng được. File này cũng được nhiều chương trình bảo mật mô tả là một con Trojan đơn thuần hoặc một phương pháp backdoor đơn giản trên nền tảng Windows.
Willis McDonald, một nhà nghiên cứu bảo mật tại Core Security nói rằng file độc trên là một “dropper” – một phần mềm cài đặt cho một malware có tên Bladabindi (hay còn được biết tới với cái tên NJRat). Theo như Microsoft, loại malware này có thể thu thập được thông tin nhạy cảm từ người dùng cũng như khiến cỗ máy “mắc bệnh” không còn có sức chống lại những cuộc tấn công sau này.
“Công cụ truy cập từ xa này (remote-access-tool – RAT) có khả năng ăn cắp thông tin, chụp màn hình, quay phim và chụp ảnh qua webcam của bạn, đánh cắp mật khẩu và chuyển dữ liệu từ máy này qua máy khác. Công cụ này đã tồn tại ít nhất là từ 2013 và nó cũng rất đại trà bởi cách thức xây dựng cũng như server được đăng tải trên nhiều forum, cho phép những kẻ tấn công có thể tự tạo một RAT cho riêng mình”, McDonald nói.
Hiện tại, chưa biết rõ rằng ai là người tấn công và phát tán loại malware này.
“Dựa trên những vụ tấn công thường thấy tại Trung Đông, đây có thể chỉ là một chiến dịch hack thông thường chứ không phải mà một cuộc tấn công lớn nào đó nhằm vào IS”, anh McDonald bổ sung.
Chưa hết, hacker cũng có thể đưa trực tiếp loại malware này vào những máy truy cập trang web. Một nhà nghiên cứu bảo mật độc lập khác được biết tới với cái tên Switched cũng đưa dẫn chứng cho phóng viên Motherboard là một đường link Bitly dẫn thẳng tới trang Amaq đang bị nhiễm file độc. Khi ấn vào, trang web Bitly có cảnh báo người sử dụng rằng họ “có phát hiện ra dấu hiệu của dữ liệu độc hại” trong đường link.
Một vài tài khoản Twitter sử dụng ngôn ngữ Ả Rập (hiện đã bị Twitter ban) có đăng tải đường link trên trong 24 giờ qua, có thể là một động thái nhằm phát tán virus. Dựa trên công cụ phân tích dữ liệu của Bitly, ta thấy được rằng đường link trên đã có ít nhất 600 lượt click kể từ khi nó “lên sóng” vào thứ Tư vừa rồi.
Thông số mà công cụ của Bitly đưa ra.
Trong quá khứ, các hacker đã từng sử dụng những forum của những tổ chức cực đoan này để phát tán malware. Trong Chiến tranh Iraq, NSA cũng đã từng thâm nhập vào mạng mưới website của Al-Qaeda và cài đặt malware trong đó.
Hiện tại, trang web Amaq đã chuyển sang sử dụng một tên miền khác, sạch bóng malware (do khi đăng nhập vào, không còn thấy yêu cầu cài đặt Flash Player nào nữa). Tuy nhiên, rất có thể những hacker kia vẫn chưa tính tới chuyện dừng lại.
Theo Trí thức t