Giả mạo trang cài đặt Windows 10 để cài trojan đánh cắp dữ liệu

Nhân sự kiện Microsoft phát hành Windows 10 tại Brazil, tội phạm mạng tại đây đã cho khởi chạy chiến dịch thư rác nhằm cài đặt trojan lên máy tính người dùng, theo Kaspersky. Người dùng sẽ nhận được một email có giao diện giống với email của Microsoft gửi tới, với nội dung mời họ tải về bản Windows mới nhất của Microsoft.

Thư gửi từ Microsoft (trái) và thư giả mạo của tội phạm mạng (phải) – Ảnh: Kaspersky

Khi nạn nhân click vào “Instalador Windows 10” (Windows 10 Installer), sẽ tự động tải xuống hệ thống tập lệnh VBE đã được mã hóa:

Đây là tập lệnh base64 đã được mã hóa bằng phần mềm Motobit:

Một khi đã khởi chạy, nó sẽ thả trojan gián điệp chính vào hệ thống, sử dụng cả tiếng lóng Bồ Đào Nha – Brazil vào đoạn mã.

Banker module có nhiệm vụ đánh cắp dữ liệu và khả năng ngầm cho phiên điều khiển từ xa và kỹ thuật vá lỗi anti-VM. Kaspersky Anti-Virus phát hiện tập lệnh VBE dưới tên Trojan-Downloader.VBS.Agent.aok.

Kaspersky từng lên tiếng cảnh báo sự gia tăng phần mềm độc hại VBS/VBE ở Brazil thời gian gần đây. Kaspersky hiện đang tìm hiểu thêm thông tin về phần mềm độc hại VBE đang phát tán rộng rãi ở Brazil.