• Thứ Ba, 31/05/2011 10:23 (GMT+7)

    Trojan lừa tiền trên máy Mac thuộc về người Nga?

    NND
    Chuyên gia bảo mật Brian Krebs cáo buộc Công ty ChronoPay của Nga dùng phần mềm diệt virus giả Mac Defender. ChronoPay phủ nhận việc này và doạ kiện lại.

    Trong các vụ tấn công do tin tặc (hacker) thực hiện nhắm vào cộng đồng người dùng máy Mac mới đây, Công ty ChronoPay do người Nga thành lập bị cho là có liên quan. Một cựu nhà báo hiện là chuyên gia về an toàn thông tin nổi tiếng, Brian Krebs, đã thông báo trên blog của mình về vụ việc này. Từ đầu tháng 5/2011, hàng nghìn người dùng máy tính Mac đã trở thành nạn nhân của phần mềm diệt virus giả Mac Defender. Phần mềm này có nhiệm vụ chính là bòn tiền từ các thẻ tín dụng và nói chung không có tác dụng chống lại các phần mềm độc hại.

    Mac Defender (cũng như MacProtector hay MacSecurity) hoạt động như sau. Người dùng truy cập vào website nhiễm phần mềm độc hại (qua công cụ tìm kiếm hình ảnh của Google) sẽ nhận được cảnh báo rằng trên máy tính của họ có virus. Và nếu thiết lập trong trình duyệt Safari cho phép tự động tải các file âm thanh thì trên máy tính của nạn nhân lập tức xuất hiện và mở ra một gói cài đặt. Người dùng chỉ cần đồng ý để cài đặt mà không cần nhập mật khẩu quản trị.

    Sau khi thiết lập chương trình, trên màn hình máy tính tiếp tục xuất hiện các cảnh báo về các virus mới và để cho thuyết phục hơn, Safari sẽ mở lên các web đen một cách tình cờ. Cuối cùng, người dùng được đề nghị mua một phiên bản đầy đủ chương trình diệt virus vì bản miễn phí không diệt hết được virus. Trên thực tế, Mac Defender lại chính là phần mềm độc hại không diệt được virus nào mà chỉ cuỗm tiền.

    Mac Defender gây rất nhiều ồn ào và bây giờ nó liên quan đến người Nga...
    Theo tin của ZDNet, sau 25 ngày, dịch vụ hỗ trợ người dùng của Apple đã nhận được từ 60.000 đến 125.000 lời phàn nàn liên quan đến lây nhiễm phần mềm diệt virus giả, còn trong ngày đầu tiên, quá nửa số cuộc gọi gọi đến dịch vụ này liên quan tới phần mềm Mac Defender. Tuy nhiên, Apple đã không hỗ trợ ngay. Thoạt đầu, theo nội quy, nhân viên của Apple bị cấm tuyệt đối không được nêu các phương án có thể để tẩy sạch phần mềm độc hại.

    Để ban hành hướng dẫn gỡ bỏ Mac Defender, nhà cung cấp cần tới 3 tuần. Hiện tại, bài hướng dẫn dành cho những người dùng yêu cầu hỗ trợ kỹ thuật chống Mac Defender được cung cấp trên trang hỗ trợ của Apple

    Vừa rồi, Brian Krebs viết rằng phần mềm diệt virus giả đề nghị thanh toán tiền qua tên miền mac-defence.com. Trong những trường hợp khác, địa chỉ được lưu ý là macbookprotection.com. Khi xem xét các dữ liệu về việc đăng ký sử dụng những tên miền này (thông qua dịch vụ Whois), các chuyên gia thấy chúng được đăng ký từ hộp thư điện tử fc@mail-eye.com. Đây chính là địa chỉ có trong các tài liệu nội bộ của ChronoPay từ hồi năm rồi và bị rò rỉ trên Internet.

    Trong các tài liệu chỉ rõ, tên miền mail-eye.com thuộc về ChronoPay và rằng Công ty trả tiền để triển khai ở Đức một máy chủ ảo phục vụ cho địa chỉ này. Các ghi chép cũng chỉ rõ rằng hộp thư fc@mail-eye.com thuộc về Giám đốc tài chính của ChronoPay Alexandra Volkova. Theo dữ liệu của Krebs nhận từ một nhà cung cấp dịch vụ Internet, mới đây, địa chỉ này đã được dùng để đăng ký 2 tên miền mới nhưng là những tên miền nào thì nhà cung cấp không tiết lộ. Krebs cho rằng đó là những địa chỉ dự định để thực hiện thanh toán cho Mac Defender.

    Trong khi đó, Tổng giám đốc điều hành ChronoPay Pavel Vrublevsky tuyên bố với Cnews.ru rằng "Krebs đã lần thứ hai liên tiếp trong một năm công bố các bài viết tiêu cực về ChronoPay dựa trên các tài liệu mà ông ta nhận được từ các kẻ thù của ChronoPay". Vrublevsky phủ nhận những tên miền nói trên thuộc về ChronoPay và nói rằng công ty không hề đăng ký chúng.

    Trên website chính thức của ChronoPay có đăng thông cáo báo chí, trong đó ChronoPay thông báo họ không có liên quan gì đến Mac Defender. Đại diện của Công ty nhấn mạnh rằng ChronoPay là một thương hiệu nổi tiếng được thừa nhận rộng rãi (ở Nga, công ty này sở hữu 45% thị phần thương mại điện tử) và bôi nhọ thanh danh của họ là việc làm vô nghĩa. ChronoPay cảnh cáo rằng họ sẵn sàng thực hiện những "hành động pháp lý thích hợp" đối với những kẻ tung tin phá hoại Công ty.