Trong khi đại dịch COVID-19 đang hoành hành trên toàn thế giới, một số hacker đã phát triển và sử dụng phần mềm độc hại nhằm phá hủy các hệ thống bị nhiễm, bằng cách xóa các tệp tin hoặc ghi đè lên chương trình khởi động chính của máy tính (MBR).

Các nhà nghiên cứu đã xác định được ít nhất là năm chủng thuộc phần mềm độc hại, một số hiện đã được lây nhiễm qua mạng, trong khi một số khác dường như chỉ được tạo ra dưới dạng thử nghiệm hoặc trêu đùa. Đặc điểm chung của những chủng này là lợi dụng COVID-19 để phá hoại dữ liệu, thay vì kiếm lợi.

Phần mềm độc hại ghi đè MBR

Trong số bốn mẫu phần mềm độc hại được các nhà nghiên cứu bảo mật phát hiện ra trong tháng vừa qua, tiên tiến nhất là hai mẫu có khả năng ghi đè MBR, ghi đè mã lệnh thực thi của hệ thống máy tính.

Để tạo ra được những phần mềm độc hại này đòi hỏi phải có một số kiến thức, kỹ thuật nâng cao, vì việc “mày mò” MBR không phải là điều dễ dàng và có thể dẫn đến hệ thống máy tính sẽ hỏng, không tự khởi động lại được nữa.

Phần mềm độc hại ghi đè MBR lần đầu tiên được phát hiện bởi các nhà nghiên cứu bảo mật có tên MalwareHunterTeam và được sử dụng với tên gọi COVID-19.exe, lây nhiễm vào hệ thống máy tính qua hai giai đoạn.

Trong giai đoạn đầu tiên, nó chỉ hiển thị một cửa sổ thông báo làm cho người dùng rất khó chịu mà không thể đóng nó lại vì phần mềm độc hại này cũng đã vô hiệu hóa cả trình quản lý tác vụ của hệ điều hành Windows (Windows Task Manager).

Trong khi người dùng đang phải tìm cách xử lý cửa sổ này, phần mềm độc hại đã âm thầm ghi đè MBR chính của máy tính. Sau đó nó tự khởi động lại máy tính và MBR mới sẽ được khởi động và chặn người dùng tiếp tục khởi động máy của mình.

Người dùng cũng có thể lấy lại quyền truy cập vào máy tính của mình, nhưng sẽ phải cần thêm một số ứng dụng đặc biệt khác có thể được sử dụng để khôi phục và sửa chữa lại MBR về trạng thái hoạt động như ban đầu.

Tuy nhiên, vẫn còn có một chủng phần mềm độc hại khác liên quan đến COVID-19 cũng có thể ghi đè MBR và mã độc này được cho là có cách thức hoạt động phức tạp hơn nhiều. Phần mềm độc hại có tên CoronaVirus ransomware. Chức năng chính của loại này là đánh cắp mật khẩu từ máy chủ bị nhiễm và sau đó giả dạng một phần mềm độc hại khác để lừa người dùng và che giấu mục đích thực sự của nó. Sau khi các hoạt động đánh cắp dữ liệu đã xong, mã độc này sẽ ghi đè MBR và chặn người dùng khởi động máy tính. Cuối cùng, người dùng sẽ nhận được một thông báo đòi tiền chuộc của tin tặc, nếu không sẽ bị xóa hết dữ liệu và các mật khẩu ứng dụng khác.

Theo phân tích từ nhà nghiên cứu bảo mật Vitali Kremez và Bleeping Computer của hãng bảo mật SentinelOne, phần mềm độc hại còn chứa các đoạn mã độc để xóa các tệp tin trên hệ thống của người dùng, nhưng chức năng này chưa được hỗ trợ trong phiên bản mà họ đã phân tích.

Mã độc xóa dữ liệu

Các nhà nghiên cứu bảo mật cũng đã phát hiện ra nhiều loại mã độc khác ghi đè MBR có liên quan đến COVID-19, trong đó có hai loại mã độc chuyên xóa dữ liệu, cả hai cũng được phát hiện bởi nhóm bảo mật MalwareHunterTeam.

Mã độc đầu tiên được phát hiện vào tháng 2 vừa qua, nó sử dụng các tệp tin có tên bằng tiếng Trung Quốc và chủ yếu nhắm đến người dùng tại Trung Quốc, các nhà nghiên cứu cho biết, không chắc chắn liệu nó đã được phát tán ra ngoài mạng internet hay chưa hoặc cũng có thể là đang thử nghiệm.

Mã độc thứ hai được phát hiện gần đây và nó đã được tải lên cổng thông tin VirusTotal bởi một người nào đó ở Ý.

MalwareHunterTeam mô tả cả hai chủng này là những loại mã độc xóa dữ liệu yếu kém do thực hiện không hiệu quả, dễ bị lỗi và sử dụng các phương pháp xóa tệp tin trên hệ thống bị nhiễm khá tốn thời gian. Tuy nhiên, chúng vẫn đang hoạt động và trở nên nguy hiểm nếu được lan truyền qua mạng.

Có vẻ lạ khi một số kẻ đã tạo ra phần mềm độc hại chuyên phá hoại kiểu như thế này, nhưng đây không phải là lần đầu tiên điều này xảy ra. Hầu hết các chủng phần mềm độc hại thường có động cơ nhắm vào tài chính mà các nhà nghiên cứu bảo mật phát hiện ra, cũng có một số loại được tạo ra như một trò đùa, đây cũng là sở thích của các tin tặc hiện nay. Vào năm 2017, một điều tương tự đã xảy ra trong đợt bùng phát mã độc WannaCry, sau khi mã độc này vô hiệu hóa các máy tính trên toàn thế giới, thì sau đó có vô số bản sao đã xuất hiện gây ra sự cố tương tự mà không có lý do rõ ràng nào