/hvaonline/posts/list/13.html JForum - http://www.jforum.net Công cụ mã hóa Skype giả mạo nhắm vào các nhà hoạt động chính trị Syria, cung cấp spyware thay vì sự bảo mật Người dịch: bolzano_1989 at hvaonline.net Chiến dịch của các tấn công trên Internet nhắm vào các nhà hoạt động chính trị đối lập Syria đã chuyển sang một hướng mới. Kể từ đầu năm đến nay, các nhà hoạt động chính trị đối lập Syria đã bị tấn công bằng cách sử dụng một số trojan, bí mật cài đặt phần mềm gián điệp vào máy tính bị lây nhiễm cũng như nhiều cuộc tấn công lừa đảo ăn cắp thông tin đăng nhập tài khoản YouTube và Facebook. Trong tuần vừa rồi, blog Malware của TrendMicro đã mô tả một website tự nhận cung cấp phần mềm mã hóa Skype, nhưng thực ra là một trojan thực hiện cài đặt phần mềm quản lý máy tính từ xa (RAT) DarkComet 3.3, cho phép kẻ tấn công ghi lại các hoạt động của webcam, tắt chức năng thông báo của một số phần mềm chống virus, ghi lại các hoạt động bàn phím, đánh cắp mật khẩu và hơn cả là gửi những thông tin nhạy cảm đến một địa chỉ nằm trong dải địa chỉ IP của Syria. Trong tuần này, EFF đã tìm thấy một website gần như giống hệt ở địa chỉ hxxp://skype-encryption.sytes.net/ mà bạn có thể thấy trong các ảnh chụp màn hình dưới đây.

Click "download" sẽ download ứng dụng mã hóa Skype giả mạo với tên "Skype Encryption v2.1" như hình sau:

Khi chạy, ứng dụng giả mạo này sẽ tạo một cửa sổ cho bạn những lựa chọn "Encrypt" và "DeCrypt" như hình sau:

Khi bạn click "Encrypt" , ứng dụng giả mạo sẽ thông báo yêu cầu bạn chờ trong khi ứng dụng này mã hóa kết nối, như trong ảnh chụp màn hình dưới đây. Tuy nhiên, thực tế là ứng dụng này không mã hóa gì cả. Thay vì mã hóa traffic Skype của bạn, ứng dụng sẽ tải một trojan từ địa chỉ hxxp://216.6.0.28/SkypeEncryption/Download/skype.exe. Đây cũng là địa chỉ IP Syria được sử dụng trong các tấn công được mô tả bởi TrendMicro, Symantec, Cyber Arabs, và một vài bài viết đăng trên blog của EFF khác.

Sau khi được cho là các kết nối của bạn đã được mã hóa, ứng dụng tạo một cửa sổ thông báo rằng: "Your Connections are Now Completely Encrypted ! ..... Enjoy" như ảnh chụp màn hình sau.

Trong khi đó, ứng dụng giả mạo này cài đặt công cụ quản lý máy tính từ xa (RAT) DarkComet 3.3 vào máy tính của bạn. DarkComet cho phép kẻ tấn công ghi lại các hoạt động của webcam, tắt chức năng thông báo của một số phần mềm chống virus, ghi lại các hoạt động bàn phím, đánh cắp mật khẩu từ máy tính của bạn. Không như phiên bản DarkComet được mô tả trong bài viết của TrendMicro đã được phát hiện bởi một số phần mềm chống virus, phiên bản DarkComet này không được phát hiện bởi bất cứ phần mềm chống virus nào ở thời điểm bài này được viết. Cách tìm kiếm và loại bỏ DarkComet ra khỏi máy tính của bạn đã được thảo luận trong bài viết sau trên blog của EFF: Campaign Targeting Syrian Activists Escalates with New Surveillance Malware https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware EFF khuyến cáo những người Syria sử dụng Internet nên đặc biệt cẩn thận khi tải các phần mềm ứng dụng từ các website không quen thuộc. Dù website ứng dụng mã hóa Skype giả mạo trên có nhiều dấu hiệu hiển nhiên cho thấy đây không phải là website , từ lỗi chính tả của từ "encryption" ("mã hóa") cho đến việc lạm dụng font Comic Sans MS, EFF tin rằng chúng ta có thể gặp những cuộc tấn công tinh vi hơn trong tương lai. Bài viết này được dịch từ nguồn: Fake Skype Encryption Tool Targeted at Syrian Activists Promises Security, Delivers Spyware | Electronic Frontier Foundation https://www.eff.org/deeplinks/2012/05/fake-skype-encryption-tool-targeted-syrian-activists-promises-security-delivers Các link đến các trang web chứa phần mềm độc hại trong bài viết đã được chỉnh sửa để không thể gây hại cho bạn đọc. Các link tham khảo được dẫn trong bài viết: Fake Skype Encryption Tool Targeted at Syrian Activists Promises Security, Delivers Spyware | Electronic Frontier Foundation https://www.eff.org/deeplinks/2012/05/fake-skype-encryption-tool-targeted-syrian-activists-promises-security-delivers Backdoor.Breut Technical Details | Symantec http://www.symantec.com/security_response/writeup.jsp?docid=2012-021012-3004-99&tabid=2 How to Find and Protect Yourself Against the Pro-Syrian-Government Malware on Your Computer | Electronic Frontier Foundation https://www.eff.org/deeplinks/2012/03/how-find-syrian-government-malware-your-computer-and-remove-it Campaign Targeting Syrian Activists Escalates with New Surveillance Malware | Electronic Frontier Foundation https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware Fake YouTube Site Targets Syrian Activists With Malware | Electronic Frontier Foundation https://www.eff.org/deeplinks/2012/03/fake-youtube-site-targets-syrian-activists-malware Syrian Activists Targeted With Facebook Phishing Attack | Electronic Frontier Foundation https://www.eff.org/deeplinks/2012/03/pro-syrian-government-hackers-target-syrian-activists-facebook-phishing-attack Fake Skype Encryption Service Cloaks DarkComet Trojan http://blog.trendmicro.com/fake-skype-encryption-software-cloaks-darkcomet-trojan/ Cyber-arabs http://www.cyber-arabs.com/]]> /hvaonline/posts/list/42287.html#263187 /hvaonline/posts/list/42287.html#263187 GMT /hvaonline/posts/list/42287.html#263212 /hvaonline/posts/list/42287.html#263212 GMT