RANSOMWARE CTB-LOCKER giả dạng thành bản cập nhật Google Chrome

Các email này với dòng tiêu đề "Google Chrome Security" tự nhận rằng chúng được gửi đến từ Trung Tâm Bảo Mật Của Google (Google Security Center). Khi người dùng nhấp vào liên kết trong email, họ bị đưa đến một trang web có chứa phần mềm độc hại. Phần mềm độc hại này trông có vẻ như là một gói cài đặt hợp pháp bởi vì nó sử dụng biểu tượng của Google Chrome. Phần mềm độc hại này được xác định là file TROJ_CRYPCTB.YUX.

Được gọi là CTB-Locker, ransomware này sẽ mã hóa các tập tin của người dùng. Sau đó người dùng Google Chrome được yêu cầu phải trả một khoản tiền $500 dưới dạng tiền ảo Bitcoin để được mở khóa các tập tin của họ. Họ bị yêu cầu phải thanh toán trong vòng 96 giờ. Khi thời hạn kết thúc, chìa khóa giải mã sẽ bị hủy khỏi máy chủ của kẻ tấn công và việc phục hồi các tập tin này sau đó là không thể. Điều quan trọng cần lưu ý ở đây là Google Chrome được thiết lập để tự động cập nhật. Nghĩa là, không cần phải có thao tác bấm vào liên kết trong email để cập nhật trình duyệt này. Sau khi khởi động lại ứng dụng, phiên bản mới sẽ có sẵn.

Hãng bảo mật Trend Micro cho biết thêm dường như đó vẫn là chưa đủ đối với ransomware CTB-Locker, nó còn đang nhắm mục tiêu đến những người dùng Facebook. Một email tự xưng là đến từ Facebook tuyên bố rằng tài khoản mạng xã hội này của người dùng đã tạm thời bị khóa. Người sử dụng Facebook bị yêu cầu nhấp vào một liên kết được lồng vào (embedded link). Việc nhấp vào liên kết này dẫn đến việc tải xuống một phần mềm độc hại. Phần mềm độc hại này, được phát hiện là file TROJ_CRYPCTB.NSA, ngụy trang như là một tập tin hợp pháp bằng cách sử dụng một biểu tượng .PDF

Các nhà nghiên cứu tại Trend Micro đã phát hiện ra rằng CTB-Locker được lưu trữ trên các trang web bị xâm nhập. Không chỉ vậy, họ còn phát hiện rằng các trang web này được liên kết với chỉ một địa chỉ IP. Nghiên cứu sâu hơn cho thấy rằng một số các địa chỉ trang web này có liên quan đến một chiến dịch lừa đảo trên dịch vụ thanh toán Paypal. Email này có tiêu đề “Take Action PayPal” hướng dẫn người dùng Paypal đăng nhập vào tài khoản của họ để giải quyết một vấn đề nào đó bằng cách nhấn vào một liên kết trong email.