Theo Công an Thanh Hóa, khoảng năm 2023, N.V.X, là học sinh lớp 12, trú tại phường Hạc Thành, tỉnh Thanh Hóa tự tìm hiểu và học các ngôn ngữ lập trình như Python, C++ để viết các chương trình chạy trên máy tính.
Tìm hiểu sâu hơn về cấu trúc hệ điều hành và cách lưu trữ dữ liệu trên máy tính, N.V.X nảy sinh ý định xây dựng các đoạn mã có khả năng truy cập vào dữ liệu lưu trong trình duyệt web của người dùng.
Đến năm 2024, N.V.X đã lập trình thành công một bộ mã nguồn có chức năng đánh cắp dữ liệu từ máy tính và tìm cách vượt qua các lớp bảo vệ cơ bản của hệ điều hành.
Điều tra, xác minh của cơ quan Công an cho thấy, để xây dựng các chương trình mã độc, N.V.X đã sử dụng các ngôn ngữ lập trình như Python và C++, tạo ra các tệp mã nguồn có khả năng thu thập dữ liệu lưu trên trình duyệt của người dùng như cookies đăng nhập, mật khẩu đã lưu, dữ liệu tự động điền và nhiều thông tin nhạy cảm khác.
Các đoạn mã sau khi hoàn thiện sẽ tự động quét các thư mục lưu trữ dữ liệu của trình duyệt, sau đó đóng gói dữ liệu thu thập được thành các tệp tin và gửi về máy chủ do đối tượng thiết lập.
Tháng 7/2024, thông qua mạng xã hội Telegram, N.V.X quen biết, được Lê Thành Công (sinh năm 1998), trú tại tỉnh Hà Tĩnh nhờ phát triển giúp mã độc để phát tán nhằm mục đích thu thập các thông tin nhạy cảm được lưu trên trình duyệt máy tính của người dùng (chủ yếu là cookies và thông tin đăng nhập tài khoản Facebook vì những tài khoản này sẽ bán được). N.V. X đã lập trình các file mã độc, nén thành file ZIP rồi chuyển cho Công để phát tán.
Các máy tính bị nhiễm mã sẽ tự động gửi về các hệ thống Bot Telegram do các đối tượng thiết lập và quản lý. Với các kênh Telegram như "STC New Logs", "STC Notification", "STC Reset Logs", các đối tượng có thể theo dõi, tải xuống, phân loại các dữ liệu thu thập được để tiếp tục khai thác.
Tiếp đó, Lê Thành Công giới thiệu N.V.X với Phan Xuân Anh (sinh năm 2005), trú tại tỉnh Nghệ An, sử dụng tài khoản Telegram "Mr Bean", để hai bên tiếp tục hợp tác trong việc phát triển và phát tán mã độc.
Phan Xuân Anh đặt N.V.X lập trình một loại mã độc mới có tên "PXA Stealers" với chức năng đánh cắp thông tin, chiếm quyền quản trị máy tính của nạn nhân. Hai bên thỏa thuận, N.V.X sẽ hưởng 15% trên tổng số lợi nhuận thu được từ việc khai thác dữ liệu đánh cắp.
Theo phân công, N.V.X chịu trách nhiệm lập trình, chỉnh sửa và cập nhật các phiên bản mới của mã độc, còn Phan Xuân Anh và các đối tượng khác đảm nhận việc phát tán mã độc và khai thác dữ liệu thu thập được từ các máy tính bị nhiễm.
Các đối tượng còn mua thêm mã nguồn của một phần mềm điều khiển từ xa có tên Pure RAT để tích hợp vào chương trình mã độc do N.V.X phát triển.
Khi người dùng mở tệp chứa mã độc, chương trình sẽ tự động cài đặt vào máy tính và đồng thời cài đặt cả phần mềm điều khiển từ xa, cho phép các đối tượng truy cập và điều khiển máy tính của nạn nhân từ xa.
Từ tháng 8/2024, N.V. X nhiều lần giúp Phan Xuân Anh xây dựng ra các phiên bản khác nhau của mã độc PXA Stealers, để phát tán đến các người dùng ở trong và ngoài nước, đồng thời, thường xuyên cập nhật, chỉnh sửa mã nguồn của mã độc để có thể vượt qua các lớp bảo vệ của hệ điều hành.
Khoảng tháng 11/2024, Phan Xuân Anh đã giới thiệu Nguyễn Thành Trường (sử dụng tài khoản Telegram "Adonis") với N.V.X. Trường đã liên hệ, trao đổi và "đặt hàng" với N.V. X xây dựng một mã độc đặt tên là Adonis (viết tắt là AND) với giá 500 USD, có cùng tính năng như mã độc PXA Stealers.
Trường thống nhất sẽ chia lợi nhuận từ việc khai thác dữ liệu thu thập được cho N.V.X từ 50-100 USDT/mỗi lần kiếm được tiền từ việc khai thác dữ liệu thu được. Sau khi tạo lập xong mã độc, N.V.X đã chuyển cho Trường để sử dụng vào mục đích vi phạm pháp luật.
Theo cơ quan điều tra, phần lớn các máy tính bị nhiễm mã độc thuộc về người dùng internet tại nhiều quốc gia trên thế giới, chủ yếu tại các nước ở châu Âu, châu Mỹ và một số quốc gia châu Á.
Để phát tán mã độc trên diện rộng, các đối tượng sử dụng máy tính cá nhân kết hợp với các phần mềm hỗ trợ gửi thư điện tử hàng loạt để phát tán các email có đính kèm tệp chứa mã độc. Các email này được gửi đến nhiều địa chỉ thư điện tử của người dùng internet tại các quốc gia khác nhau trên thế giới.
Các đối tượng còn thu thập, mua lại danh sách địa chỉ email của người dùng trên các diễn đàn mua bán dữ liệu trên mạng, sau đó sử dụng các công cụ tự động để gửi hàng loạt email chứa mã độc tới các địa chỉ này. Khi người nhận tải tập đính kèm về máy tính và mở tệp, mã độc sẽ được kích hoạt và tự động cài đặt vào hệ thống.
Các tệp chứa mã độc thường được thiết kế có biểu tượng giống các tệp tài liệu thông thường như file PDF hoặc văn bản nhằm đánh lừa người sử dụng, nhưng thực chất đây là các tệp thực thi có đuôi ".exe".
Sau tự cài đặt, mã độc hoạt động ngầm trên máy tính của nạn nhân, thu thập các thông tin lưu trên máy tính như cookies đăng nhập, mật khẩu trình duyệt, dữ liệu tự động điền, địa chỉ IP và nhiều thông tin quan trọng khác. Các dữ liệu này sau đó được tự động gửi về các máy chủ hoặc hệ thống Bot Telegram do các đối tượng quản lý để tiếp tục khai thác.
Ngoài ra, thông qua phần mềm điều khiển từ xa đã được cài đặt sẵn, các đối tượng còn sử dụng máy chủ ảo (VPS) để truy cập trực tiếp vào các máy tính bị nhiễm mã độc, từ đó chiếm quyền điều khiển máy tính của nạn nhân, tiếp tục khai thác dữ liệu.
Theo kết quả điều tra, đã có hơn 94.000 máy tính của người dùng tại nhiều quốc gia trên thế giới bị nhiễm các loại mã độc do nhóm đối tượng trên phát tán.
Từ các dữ liệu đánh cắp được, các đối tượng chủ yếu khai thác các tài khoản mạng xã hội, đặc biệt là các tài khoản Facebook có chức năng chạy quảng cáo.
Sau khi chiếm quyền kiểm soát các tài khoản này, các đối tượng sử dụng chúng để chạy quảng cáo bán hàng trực tuyến trên gian hàng Betamax và hưởng hoa hồng hoặc có thể bán thông tin tài khoản Facebook của nạn nhân cho bên thứ 3 để thu lợi bất chính.
Bước đầu cơ quan điều tra xác định, các đối tượng trong đường dây đã thu lợi bất chính hàng chục tỷ đồng từ việc lập trình và chỉnh sửa mã độc.
Căn cứ kết quả điều tra, Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã khởi tố vụ án, khởi tố 12 bị can về tội “Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, máy tính, phần mềm để sử dụng vào mục đích trái pháp luật" quy định tại Điều 285, Bộ luật hình sự và tội "Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác" quy định tại Điều 289, Bộ luật hình sự.
