Cần có một bài viết riêng về Redline Stealer, một loại mã độc đang gây ra những vụ mất quyền kiểm soát trên nhiều tài khoản mạng xã hội lớn như Facebook và YouTube. Tháng 10/2022, số liệu chỉ ra rằng 48% các cuộc tấn công ăn cắp dữ liệu được thực hiện bởi các tên tội phạm công nghệ cao sử dụng mã độc Redline.
Để đối phó với việc mất dữ liệu trên các thiết bị, tổ chức, doanh nghiệp và cá nhân, đặc biệt là các người ảnh hưởng và chủ các kênh mạng xã hội với số lượng người theo dõi lớn, đã triển khai các biện pháp bảo mật nhiều tầng lớp. Tuy nhiên, Redline Stealer đã chứng minh khả năng vượt qua các biện pháp này và chiếm quyền điều khiển các tài khoản mạng xã hội, ngay cả khi chúng được bảo vệ bởi bảo mật nhiều tầng như xác thực hai yếu tố (MFA).
Trong bối cảnh vẫn là chiến thuật sử dụng mã độc để đánh cắp session token, ngày 2/4, ít nhất đã có hai kênh YouTube nổi tiếng tại Việt Nam đã bị hack. Một trong số đó thuộc về anh Độ Mixi và kênh kia của anh Quang Linh Vlog, đã bị chiếm đoạt để phổ biến những nội dung về tiền điện tử với dấu hiệu lừa đảo.
Tuy nhiên, sự kiện đáng chú ý nhất trong ngày và có thể là một trong những trường hợp đáng chú ý nhất trên mạng xã hội gần đây là việc kênh YouTube Linus Tech Tips, với hơn 15 triệu người theo dõi, bất ngờ tổ chức một buổi trực tiếp quảng bá tiền điện tử vào ban đêm. Do vi phạm các quy định sử dụng dịch vụ của YouTube, kênh này đã bị khóa ngay sau khi phát sóng những nội dung lừa đảo bị cấm.
Sau đó, Linus Sebastian đã khôi phục quyền kiểm soát của tài khoản YouTube và giải thích nguyên nhân tại sao tài khoản bị hack giữa đêm khuya. Clip này một lần nữa làm nổi bật điều rằng, dù mã độc có mạnh mẽ đến đâu, thì chúng, cũng như những kẻ tội phạm công nghệ cao, vẫn luôn tận dụng những lỗ hổng từ con người. Nói cách khác, sự sơ hở và thiếu cảnh giác của con người là điểm mấu chốt mà mã độc có thể tận dụng để xâm nhập vào hệ thống và ăn cắp dữ liệu.
Một ví dụ khác về cách Redline Stealer tấn công và lan truyền để xâm nhập vào hệ thống của nhiều người khác là trường hợp của nhà cung cấp dịch vụ internet Viu tại Brazil. Trên trang Facebook của nhà mạng này, đã có một bài đăng chia sẻ một đoạn clip kèm theo link tải Adobe Reader, nhưng link đó lại dẫn đến trang Mediafire thay vì trang chính thức của Adobe. Ngoài ra, cũng có những bài đăng chia sẻ link tải các trò chơi như Grand Theft Auto hay Stray. Tuy nhiên, chỉ cần tải xuống và cài đặt những ứng dụng này, Redline Stealer sẽ tự động lây lan và nắm giữ trong thiết bị, lấy đi hết dữ liệu quan trọng có trong đó.
Redline Stealer được phát hiện lần đầu vào tháng 3/2020 và được các nhà nghiên cứu bảo mật xác định là một loại mã độc chủ yếu tập trung vào việc tấn công người dùng cuối, khác biệt với những mã độc tấn công vào máy chủ doanh nghiệp để ăn cắp hoặc tống tiền từ dữ liệu mà chúng thu thập cho các tội phạm công nghệ cao.
Sau khi xâm nhập vào máy tính, những mã độc ăn cắp dữ liệu như Redline Stealer thường tập trung vào việc thu thập tất cả các loại thông tin quý giá như tài khoản ngân hàng, tài khoản và mật khẩu mạng xã hội, tài khoản email, cũng như các dịch vụ trực tuyến như thương mại điện tử và cả ví tiền điện tử. Cơ chế "file grabber" của Redline cũng hoạt động rất hiệu quả trên nhiều nền tảng trình duyệt khác nhau, từ các trình duyệt nền Chromium như Google Chrome và Microsoft Edge, đến các trình duyệt nền Gecko như Firefox, và cả các dịch vụ nhắn tin như Messenger, Discord và Telegram.
Như đã đề cập, để tấn công vào máy tính của người dùng, Redline Stealer thường lợi dụng một trong những lỗ hổng lớn nhất trong bảo mật máy tính: sự sơ hở của con người. Gần đây, một kênh YouTube có ít người theo dõi với tên gọi Nomicro4u cũng đã trở thành mục tiêu của một cuộc tấn công. Mã độc được camouflaged bên trong một file PDF kèm theo một email giả mạo từ một đơn vị lớn (như Nord VPN), giả vờ muốn liên hệ với chủ kênh để chạy quảng cáo trên các video.
Bỏ qua những tệp tin khác như sample clip để chèn vào video quảng cáo, hoặc những ví dụ về các YouTuber khác chạy quảng cáo, có một tệp cực kỳ dễ bị nhấn nhầm và tải về máy tính nếu người dùng không cẩn thận. Tệp PDF này được ghi tên là "Thỏa thuận chi phí quảng cáo." Để đánh lừa người dùng, tệp này thực ra đã bị cố tình thay đổi đuôi thành .pdf, trong khi thực tế nó là một tệp có đuôi .scr chứa mã độc bên trong. Tệp này có khả năng hoạt động như một tệp có đuôi .exe, cho phép hacker chạy và cài đặt mã độc vào thiết bị của nạn nhân.
Vấn đề nằm ở chỗ, ngay cả khi có phần mềm quét virus được cài đặt, hoặc Google cung cấp công cụ quét virus trên Gmail và Google Drive, thì cũng không thể phát hiện ra mã độc trong tệp .scr được "đóng gói" dưới dạng tệp .pdf này. Lý do là sự kết hợp của Redline với cách bọn hacker "đóng gói" tệp chứa mã độc đã cho phép nó vượt qua các biện pháp bảo vệ trong máy tính.
Tội phạm công nghệ cao đã phát hiện ra một điều quan trọng, đó là các dịch vụ quét virus thường bỏ qua những tệp tin có dung lượng lớn hơn 650 MB. Chúng coi rằng những tệp tin với dung lượng lớn hơn là quá lớn để chứa mã độc. Để quét những tệp tin có dung lượng lớn như vậy, các antivirus cần sử dụng tài nguyên phần cứng lớn để quét sâu hơn và phát hiện mã độc.
Thêm vào đó, sự bất cẩn của con người cũng là một yếu tố quan trọng. Không phải ai cũng có cài đặt phần mềm đọc mã hex trong máy tính để tìm kiếm dữ liệu mã độc được hacker gửi qua email.
Theo các nhà nghiên cứu bảo mật, Redline Stealer là một loại mã độc được viết và bán trên internet với giá khoảng 100 USD mỗi tháng, hoặc từ 150 đến 200 USD cho một bản standalone không hỗ trợ cập nhật để tránh bị phát hiện bởi các hệ thống bảo vệ máy tính. Rất khó để xác định nguồn gốc của Redline, nhưng thời gian gần đây đã có rất nhiều vụ tấn công hệ thống bằng Redline Stealer được các hacker Nga thực hiện, với những gói dữ liệu cá nhân lớn được rao bán trên các trang web nói tiếng Nga.
Sau khi hacker mua Redline, giao diện tổng hợp thông tin và hệ thống mà nó đã ăn cắp có thể trông như sau:
Lý do khiến Redline Stealer có thể ăn cắp thông tin đăng nhập và chiếm quyền kiểm soát tài khoản mạng xã hội như YouTube hay Facebook, dù các chủ tài khoản đã áp dụng các giải pháp 2FA hoặc thậm chí là MFA, đến từ tính tiện lợi của các trình duyệt hiện đại. Hiện nay, mọi trình duyệt đều có tính năng lưu trữ thông tin session token khi đăng nhập và sử dụng các dịch vụ trực tuyến. Nếu người dùng không đăng xuất, trình duyệt sẽ tiếp tục lưu trữ session token để tự động đăng nhập cho lần sau.
Redline Stealer nguy hiểm ở chỗ nó có khả năng ăn cắp thông tin session token. Một cách đơn giản để giải thích cách hoạt động của nó là, với session token, hacker có thể sao chép tình trạng đăng nhập hiện tại của trình duyệt mà người dùng đang sử dụng. Điều này bao gồm tất cả các tài khoản dịch vụ trực tuyến mà người dùng đang đăng nhập, từ Facebook, YouTube đến Gmail.
Do đó, bằng cách này, tội phạm công nghệ cao có thể kiểm soát toàn bộ các tài khoản đó, từ việc đăng bài, xóa bài đến thay đổi mật khẩu, mà không cần phải nhập mật khẩu hay mã xác nhận nữa.
Tổng kết lại, Redline Stealer sẽ không bao giờ thành công nếu mọi người dùng internet đều cẩn trọng. Dưới đây là những lời khuyên giống như những lần trước, khi các mã độc và virus tiếp tục tấn công hệ thống máy tính:
- Hãy nhớ rằng những "món hàng" miễn phí thường không phải là thật, và cái giá có thể là dữ liệu cá nhân của bạn. Tội phạm công nghệ cao thường sử dụng chiến thuật dụ dỗ người dùng bằng cách đính kèm mã độc vào các file tải xuống như bộ phim hoặc bản cài game mới ra mắt.
- Luôn kiểm tra nguồn gốc của tệp trước khi tải xuống hoặc mở trên máy tính của bạn.
- Hãy chọn những nguồn tải dữ liệu đáng tin cậy để tránh rủi ro.
- Đọc kỹ thông tin trước khi nhấp vào bất kỳ tệp đính kèm nào và xác định xem chúng có thật sự an toàn hay không.
- Sử dụng Phương pháp Xác thực Hai yếu tố (MFA), từ xác thực đăng nhập đến việc sử dụng mã OTP để bảo vệ tài khoản trực tuyến của bạn.
- Luôn cài đặt và sử dụng phần mềm chống virus cho máy tính của bạn.
- Cảnh báo với nhà cung cấp dịch vụ trực tuyến như Gmail nếu bạn nhận thấy bất kỳ thư điện tử hoặc tin nhắn nào đáng ngờ.
- Đối với doanh nghiệp, triển khai các cuộc tập trận phòng chống tội phạm công nghệ cao để mô phỏng các cuộc tấn công mạng.
- Không sử dụng cùng một mật khẩu cho nhiều tài khoản trực tuyến để tránh rủi ro bảo mật.
Nguồn: Diễn đàn Tinh Tế
30 phút
Chi tiết cuộc họp sẽ được cung cấp khi xác nhận yêu cầu.