Triệt phá đường dây phát tán mã độc toàn cầu do học sinh lớp 12 cầm đầu

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) vừa phối hợp với Công an tỉnh Thanh Hóa triệt phá thành công đường dây phát tán mã độc quy mô quốc tế. Đối tượng trực tiếp lập trình và cung cấp mã độc cho mạng lưới tội phạm này được xác định là N.V.X, một học sinh lớp 12 trú tại phường Hạc Thành, tỉnh Thanh Hóa.

Từ đam mê lập trình đến hành vi phạm pháp

Theo tài liệu điều tra, từ năm 2023, N.V.X bắt đầu tự học các ngôn ngữ lập trình như Python và C++ để nghiên cứu cấu trúc hệ điều hành. Tuy nhiên, thay vì sử dụng kiến thức vào mục đích tích cực, X. đã nảy sinh ý định xây dựng các đoạn mã có khả năng truy cập trái phép vào dữ liệu trình duyệt web của người dùng.

Đến năm 2024, đối tượng đã lập trình thành công bộ mã nguồn có chức năng đánh cắp dữ liệu và tìm cách vượt qua các lớp bảo vệ cơ bản của hệ điều hành.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa tiến hành khám xét nhà N.V.X.

Tháng 7/2024, thông qua Telegram, X. quen biết Lê Thành Công (sinh năm 1998, trú tại tỉnh Hà Tĩnh). Công đề nghị X. phát triển mã độc để thu thập thông tin cookies và tài khoản Facebook của người dùng nhằm mục đích bán kiếm lời. Sau một thời gian, Công giới thiệu X. cho Phan Xuân Anh (sinh năm 2005, trú tại tỉnh Nghệ An) để mở rộng quy mô hợp tác.

Hình thành đường dây tội phạm xuyên quốc gia

Phan Xuân Anh đặt hàng X. lập trình loại mã độc mới mang tên "PXA Stealers" với tính năng đánh cắp thông tin và chiếm quyền quản trị máy tính. Theo thỏa thuận, X. hưởng 15% lợi nhuận thu được. Trong khi X. chịu trách nhiệm kỹ thuật và cập nhật phiên bản mới, Phan Xuân Anh và các đối tượng khác đảm nhận việc phát tán và khai thác dữ liệu.

Đại tá Lê Ngọc Anh, Phó Giám đốc - Thủ trưởng Cơ quan An ninh điều tra Công an tỉnh trực tiếp chỉ đạo vụ án.

Để tăng cường hiệu quả, các đối tượng còn tích hợp phần mềm điều khiển từ xa Pure RAT vào mã độc. Đến tháng 11/2024, Phan Xuân Anh giới thiệu thêm Nguyễn Thành Trường tham gia đường dây. Trường đã đặt hàng X. xây dựng mã độc mang tên "Adonis" với giá 500 USD kèm theo cam kết chia sẻ lợi nhuận từ việc khai thác dữ liệu.

Cơ quan chức năng xác định phần lớn nạn nhân bị nhiễm mã độc sinh sống tại châu Âu, châu Mỹ và một số quốc gia châu Á.

Đối tượng Phan Xuân Anh.

Thủ đoạn phát tán và chiếm đoạt tài sản

Các đối tượng sử dụng phần mềm gửi email hàng loạt đính kèm tệp tin chứa mã độc, ngụy trang dưới định dạng tài liệu như PDF hoặc văn bản nhưng thực chất là tệp thực thi đuôi ".exe". Khi người dùng mở tệp, mã độc sẽ hoạt động ngầm để thu thập mật khẩu, cookies và thông tin cá nhân gửi về các Bot Telegram.

Nhóm tội phạm còn sử dụng máy chủ ảo (VPS) để truy cập trực tiếp vào máy tính nạn nhân thông qua phần mềm điều khiển từ xa đã cài đặt sẵn.

Tang vật của vụ án

Đã có hơn 94.000 máy tính bị nhiễm mã độc từ đường dây này. Các đối tượng tập trung khai thác tài khoản Facebook có chức năng quảng cáo để bán hàng hoặc bán dữ liệu cho bên thứ ba, thu lợi bất chính hàng chục tỷ đồng.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can về các tội danh liên quan đến sản xuất, mua bán công cụ máy tính trái phép và xâm nhập trái phép mạng máy tính theo Điều 285 và Điều 289 Bộ luật Hình sự. Hiện vụ án đang tiếp tục được điều tra mở rộng.

Tuệ Nhân