Trong thời gian gần đây, bọn hacker đã lợi dụng thủ đoạn
"chiếm dụng tên miền" (domain typosquatting) để ngụy tạo ra một trang website giả mạo có giao diện và tên gọi gần như giống hệt ứng dụng kích hoạt bản quyền Windows nổi tiếng
MAS. Chỉ với sự khác biệt đúng một ký tự (thiếu chữ
"d"), kẻ tấn công đã dụ dổ người ta tải về phần mềm độc hại mang tên
Cosmali Loader.
MAS vốn là một bộ script mã nguồn mở trên
GitHub, thường được dùng để vượt qua cơ chế xác thực bản quyền của Microsoft nhằm kích hoạt Windows và Office. Trang chính thức của
MAS là
get.activated.win. Tuy nhiên, bọn hacker đã cố tình cho đăng ký một tên miền độc hại rất giống là
get.activate.win, chỉ khác duy nhất là bỏ thêm một chữ
"d".
Kẻ tấn công muốn khai thác thói quen của nhiều người cho nhập lệnh thủ công trong
PowerShell, nơi rất dễ xảy ra lỗi về chính tả. Khi người ta truy cập lầm vào tên miền giả mạo này, hệ thống sẽ không chạy script kích hoạt bản quyền thông thường, mà bị ép tải xuống và thực thi một script PowerShell độc hại, từ đó cài đặt và chạy virus
Cosmali Loader.
Gần đây, trên mạng
Reddit đã xuất hiện hàng loạt bình luận từ nhiều người cho biết máy tính của họ bất ngờ hiện lên một thông báo cảnh cáo kỳ lạ. Giao diện cửa sổ này thẳng thắn cho biết người dùng đã nhập sai địa chỉ website và bị nhiễm mã độc, đồng thời hù dọa rằng,
"bảng điều khiển của phần mềm độc hại không an toàn, bất cứ ai cũng có thể truy cập vào máy tính của bạn", cuối cùng khuyến cáo người dùng nên cài lại Windows ngay lập tức.
Đây không phải là thông điệp để tống tiền từ bọn hacker. Rất có thể một chuyên gia "bảo mật mũ trắng" đã phát hiện lỗ hổng trong máy chủ điều khiển của mã độc, giành được quyền truy cập và tận dụng kênh này để gửi lời cảnh cáo đầy thiện chí đến tất cả các nạn nhân đã bị lây nhiễm.
Dù có lời cảnh cáo xuất phát từ ý định tốt, mức độ nguy hiểm của
Cosmali Loader vẫn không thể được xem nhẹ. Theo các phân tích, phần mềm độc hại này chủ yếu cho triển khai 2 loại tải độc hại. Thứ nhất là phương tiện đào tiền mã hóa, âm thầm chiếm dụng tài nguyên hệ thống khiến cho máy tính chạy chậm, bị lag bất thường. Thứ hai là
XWorm, một loại trojan truy cập từ xa (RAT), cho phép kẻ tấn công toàn quyền kiểm soát máy tính của nạn nhân, đánh cắp dữ kiện cá nhân riêng tư nhạy cảm, theo dõi hành vi người chủ máy và thậm chí thực hiện thêm nhiều lệnh độc hại khác.