Triệt phá đường dây mã độc toàn cầu do học sinh lớp 12 ở Thanh Hóa cầm đầu

Từ đam mê lập trình đến phạm tội

Đêm 24.3, thông tin từ Công an tỉnh Thanh Hóa cho biết, đơn vị vừa phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an triệt phá một đường dây tội phạm công nghệ cao hoạt động xuyên quốc gia, thu lợi bất chính hàng chục tỉ đồng.

Theo điều tra, đầu năm 2026, lực lượng chức năng phát hiện dấu hiệu một đường dây phát tán mã độc nhằm đánh cắp dữ liệu người dùng Internet trên phạm vi toàn cầu. Quá trình xác minh cho thấy đối tượng cầm đầu lại là N.V.X (đã thay đổi tên), hiện là học sinh lớp 12, trú tại phường Hạc Thành, tỉnh Thanh Hóa.

Khoảng năm 2023, X bắt đầu tự học lập trình bằng các ngôn ngữ như Python, C++. Ban đầu chỉ nhằm mục đích nghiên cứu, thử nghiệm, nhưng sau đó đối tượng dần chuyển sang tìm hiểu sâu về cấu trúc hệ điều hành và cơ chế lưu trữ dữ liệu.

Đến năm 2024, X đã phát triển thành công các đoạn mã có khả năng truy cập, thu thập dữ liệu lưu trong trình duyệt như cookies đăng nhập, mật khẩu, dữ liệu tự động điền… Đồng thời, các mã này có thể vượt qua các lớp bảo vệ cơ bản của hệ điều hành.

Các dữ liệu sau khi thu thập sẽ được đóng gói và tự động gửi về máy chủ do các đối tượng thiết lập để phục vụ việc khai thác.

Tháng 7.2024, thông qua Telegram, X quen biết Lê Thành Công (SN 1998, trú tại Hà Tĩnh). Hai bên thỏa thuận hợp tác: X viết mã độc, Công chịu trách nhiệm phát tán nhằm thu thập thông tin đăng nhập, đặc biệt là tài khoản Facebook có giá trị thương mại.

Sau một thời gian, Công tiếp tục giới thiệu X cho Phan Xuân Anh (SN 2005, trú tại Nghệ An). Sau đó, X được “đặt hàng” phát triển mã độc mới mang tên “PXA Stealers” với chức năng nâng cao, có thể chiếm quyền quản trị máy tính nạn nhân. Đổi lại, X được hưởng 15% lợi nhuận.

Trong đường dây này, X giữ vai trò lập trình, cập nhật và nâng cấp mã độc; các đối tượng còn lại phụ trách phát tán và khai thác dữ liệu.

Phát tán mã độc quy mô toàn cầu

Để tăng hiệu quả tấn công, các đối tượng còn mua thêm mã nguồn phần mềm điều khiển từ xa “Pure RAT” để tích hợp vào mã độc. Khi người dùng mở tệp nhiễm độc, hệ thống sẽ tự động cài đặt cả mã độc và phần mềm điều khiển từ xa, cho phép đối tượng truy cập, kiểm soát máy tính từ xa.

Ngoài ra, X còn nhận “đặt hàng” từ Nguyễn Thành Trường (tài khoản Telegram “Adonis”) để lập trình mã độc khác với giá 500 USD, kèm theo thỏa thuận chia lợi nhuận từ 50-100 USDT mỗi lần khai thác dữ liệu.

Các đối tượng sử dụng nhiều phương thức phát tán tinh vi như gửi email hàng loạt có đính kèm tệp mã độc, thu thập hoặc mua danh sách email trên các diễn đàn ngầm, sau đó phát tán diện rộng.

Đáng chú ý, các tệp mã độc thường được “ngụy trang” dưới dạng file PDF hoặc văn bản, nhưng thực chất là tệp thực thi “.exe”. Khi người dùng tải về và mở, mã độc sẽ âm thầm cài đặt, hoạt động ngầm.

Sau khi xâm nhập, mã độc thu thập nhiều thông tin quan trọng như cookies, mật khẩu, địa chỉ IP… rồi gửi về hệ thống máy chủ hoặc Bot Telegram để các đối tượng phân loại, khai thác.

Thông qua phần mềm điều khiển từ xa và máy chủ ảo (VPS), các đối tượng còn trực tiếp truy cập, chiếm quyền điều khiển máy tính nạn nhân.

Theo cơ quan điều tra, hơn 94.000 máy tính tại nhiều quốc gia, chủ yếu ở châu Âu, châu Mỹ và một số nước châu Á, đã bị nhiễm mã độc.

Từ dữ liệu đánh cắp, các đối tượng chủ yếu chiếm quyền tài khoản mạng xã hội, đặc biệt là tài khoản Facebook có chức năng chạy quảng cáo. Sau đó sử dụng để kinh doanh trực tuyến, hưởng hoa hồng hoặc bán lại cho bên thứ ba. Bước đầu xác định, đường dây đã thu lợi bất chính hàng chục tỉ đồng.

Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can về các tội danh liên quan đến sản xuất, mua bán phần mềm phục vụ mục đích trái pháp luật và xâm nhập trái phép vào hệ thống máy tính.

Hiện vụ án đang được tiếp tục điều tra mở rộng để làm rõ vai trò từng đối tượng và xử lý theo quy định pháp luật.