26/01/2018 00:33 GMT+7

Chưa hết tháng 1, lại thêm loạt mã độc mới thi nhau hoành hành

HOÀNG THƯ
HOÀNG THƯ

TTO - 8 mã độc GhostTeam, Zyklon, Exobot, Dridex, Smoke Loader, Skygofree, RubyMiner, Triton hiện đang hoành hành khắp thế giới, trong đó có Việt Nam.

GhostTeam

Chưa hết tháng 1, lại thêm loạt mã độc mới thi nhau hoành hành - Ảnh 1.

Ảnh: Pixabay/Creative Commons

Mới đây, Trend Micro đã phát hiện hơn 50 ứng dụng Android trên cửa hàng Google Play có dính mã độc GhostTeam, mã độc có khả năng ăn cắp mật khẩu Facebook và đặc biệt nhắm mục tiêu đến người dùng ở Ấn Độ, Indonesia, Brazil, Philippines và Việt Nam.

Trend Micro cho biết, sau khi tải về, mã độc này sẽ tự cải trang thành "Google Play Services" và khi nạn nhân mở Google Play hoặc Facebook, nó sẽ hiển thị một loạt cảnh báo thúc giục họ cài đặt ứng dụng và xác minh tài khoản bằng cách đăng nhập. Khi đó, mã độc được tiêm vào sẽ đánh cắp email và mật khẩu được sử dụng để đăng nhập và gửi đến máy chủ từ xa.

Kevin Sun, chuyên gia phân tích các mối đe dọa di động, cho biết trong số 53 ứng dụng bị phát hiện dính GhostTeam, chiếm đa số là nhóm ứng dụng tiện ích như đèn pin, máy quét mã QR, la bàn… và nhóm ứng dụng tăng tốc hiệu suất thiết bị như làm sạch, quét ổ đĩa, truyền tải tập tin… cùng với các ứng dụng hỗ trợ tải video.

Nhiều ứng dụng đã ẩn náu trong cửa hàng kể từ tháng 4-2017 mà đến nay mới được "đưa ra ánh sáng".

Người phát ngôn của Facebook cho biết: "Chúng tôi hiện đang ngăn chặn việc phân phối các ứng dụng này trên Facebook và chúng tôi có hệ thống giúp phát hiện các tài khoản bị xâm nhập."

Zyklon

Mã độc này có khả năng ăn cắp dữ liệu, khởi động các cuộc tấn công DDoS, bẻ khóa, khai thác tiền điện tử và nhiều hơn thế nữa.

Theo các nhà nghiên cứu bảo mật FireEye, Zyklon có đầy đủ các tính năng "sừng sỏ" của một mã độc và được tung ra nhắm vào các ngành dịch vụ viễn thông, bảo hiểm và dịch vụ tài chính thông qua khai thác lỗ hổng mới của Microsoft Office.

FireEye cho biết: "Zyklon có thể tự động tải về một số plugin, trong đó bao gồm có các plugin khai thác mật mã và khôi phục mật khẩu từ các trình duyệt. Nó cũng tự động giải mã hơn 200 phần mềm phổ biến, bao gồm Office, SQL Server, Adobe và Nero để hacker chiếm quyền điều khiển các tập tin tạm và thay thế địa chỉ của người dùng bằng một địa chỉ khác mà chúng kiểm soát."

Ngoài ra, nó cũng được thiết kế để khôi phục mật khẩu từ:

- Các dịch vụ email: Microsoft Outlook Express, Mozilla Thunderbird, Google Talk, Gmail Notified...

- Phần mềm chơi game trên PC: Call of Duty, Battlefield, Fifa…

- Trình duyệt web: Google Chrome, Mozilla Firefox, Apple Safari…

Theo báo cáo của SCMagazine, mã độc này hiện đang được bày bán công khai trên thị trường ngầm với giá 75 đô la và 125 đô la.

Người dùng cần cảnh giác khi tải các phần mềm hoặc tập tin trực tuyến, đặc biệt là các tập tin Microsoft Office từ các nguồn không rõ ràng.

Exobot (Marcher)

Chưa hết tháng 1, lại thêm loạt mã độc mới thi nhau hoành hành - Ảnh 2.

Ảnh: Pixabay/Creative Commons

Exobot, còn được gọi là Marcher, là mã độc ngân hàng được tạo ra để khởi động các cuộc tấn công lan rộng đến người dùng Android. Khoảng từ năm 2016, Exobot đã manh nha xuất hiện, nhưng từ cuối năm 2017, nó đã trải qua một số nâng cấp và thực sự hoành hành trong tháng 1 năm nay.

Theo nhà nghiên cứu an ninh di động SyfLabs - Cengiz Han Sahin, hacker tạo ra mã độc này đã bán mã nguồn của nó trên dark-web và dẫn đến các vụ tấn công tăng đột biến.

Sahin cho biết: "Chưa đầy một tháng sau khi phát hiện, các chiến dịch tấn công ở Áo, Anh, Hà Lan và Thổ Nhĩ Kỳ đã tăng gấp ba lần so với các vụ việc tấn công trực tuyến nhắm đến các quốc gia khác trong cùng thời điểm. Chiến dịch tấn công các ngân hàng ở Thổ Nhĩ Kỳ hiện vẫn đang diễn ra và đã ghi nhận bị nhiễm trên 4.400 người dùng."

Sahin lo ngại rằng các cuộc tấn công của Exobot có thể leo thang nhiều hơn, mở rộng quy mô thông qua phát tán các ứng dụng độc hại trên cửa hàng Google Play và lan rộng toàn cầu.

Dridex

Dridex vốn lần đầu được phát hiện vào năm 2014 và hoạt động rất tích cực trong suốt năm 2017. Mã độc ngân hàng này nhắm vào các ngân hàng trên toàn cầu và mới đây đã trở lại và chủ yếu tấn công các mục tiêu ở Anh, Pháp và Úc.

Từ ngày 17-1, các hacker đã khởi động chiến dịch gửi email độc hại bằng cách sử dụng các trang FTP bị xâm nhập để lan truyền Dridex. Vụ việc đã bị các nhà nghiên cứu Forcepoint phanh phui với hơn 9.500 email spam đã được gửi.

Forcepoint cho biết: "Chúng tôi nghi ngờ hacker khai thác botnet Necurs để đẩy nhanh chiến dịch nhưng vẫn chưa tìm ra được lý do tại sao quy mô của cuộc tấn công lại khá nhỏ so với các vụ việc tương tự."

Brooke Wallace, giám đốc điều hành của EMEA, nói thêm: "Khả năng phát triển của Dridex dường như vô tận khiến cho bất cứ ai sử dụng dịch vụ ngân hàng trực tuyến đều phải dè chừng. Một khi dính mã độc, người dùng sẽ bị cướp tài khoản liên tục và cần phải có biện pháp bảo mật thông minh hơn để bảo vệ cả tài khoản ngân hàng lẫn thông tin cá nhân của mình."

Smoke Loader

Chưa hết tháng 1, lại thêm loạt mã độc mới thi nhau hoành hành - Ảnh 3.

Ảnh: Malwarebytes

Trong khi những gã khổng lồ công nghệ tranh giành giải quyết các lỗ hổng Meltdown và Spectre thì các hacker đã phân phối mã độc Smoke Loader thông qua các bản vá lỗi giả mạo.

Các nhà nghiên cứu Malwarebytes đã xác định được trang lừa đảo kích hoạt SSL "sicherheit-informationstechnik.bid" nhắm mục tiêu đến người dùng Đức và được thiết kế trông giống như được quản lý bởi Văn phòng Liên bang An ninh Thông tin Đức (BSI) hiện lan truyền mã độc này.

Bản vá lỗi giả mạo có tên "Intel-AMD-SecurityPatch-10-1-v1.exe" và khi người dùng bấm vào, một liên kết tới một kho lưu trữ ZIP xác nhận có bản vá sẽ hiện ra và người dùng tự động bị nhiễm với Smoke Loader.

Khi đó, nó sẽ chạy trên hệ thống bị nhiễm, cố gắng kết nối với các tên miền khác nhau và gửi thông tin mã hóa. Malwarebytes hiện đã thông báo cho Comodo và Cloudflare về trang web giả mạo đó.

Malwarebytes nói thêm: "Tin tặc luôn tận dụng những khi người dùng hoang mang vì một sự kiện hay thông tin công nghệ nào đó được công bố rộng rãi để tấn công lừa đảo. Bạn nên nhớ có rất ít trường hợp các nhà cung cấp trực tiếp liên hệ bạn để áp dụng các bản cập nhật. Do đó, bạn phải xác minh thông tin này trước khi bấm vào bất cứ đường link đáng ngờ nào."

Skygofree

Mã độc gián điệp nhắm đến người dùng Android này được phát hiện bởi Kaspersky Lab và được mệnh danh là "một trong những mã độc gián điệp nguy hiểm nhất".

Theo Kaspersky Lab, Skygofree đã xuất hiện từ năm 2014, lây nhiễm vào smart-phone, ăn cắp các cuộc trò chuyện của WhatsApp, ghi lại các cuộc đối thoại và gián điệp trên lược sử cuộc gọi của nạn nhân.

Tuy nhiên, đến nay thì nó đã được nâng cấp, có thể biết thêm vị trí địa lý của thiết bị và cung cấp cho hacker "toàn quyền điều khiển từ xa của thiết bị bị nhiễm độc".

Các nhà phân tích Nikita Buchka và Alexey Firsh cho biết: "Bộ cấy ghép của Skygofree là một trong những công cụ gián điệp mạnh mẽ nhất mà chúng tôi từng thấy vì chúng đạt được đặc quyền gốc, có cấu trúc tải trọng phức tạp, các tính năng giám sát chặt chẽ, chứa 48 lệnh cho các hình thức gián điệp khác nhau, dễ dàng đánh chặn dữ liệu truyền qua mạng không dây, chiếm quyền chụp ảnh bằng cách sử dụng máy ảnh thiết bị và có thể hack cả máy tính Windows."

Kaspersky Lab nghi ngờ Skygofree được thiết kế bởi một nhóm hacker chuyên nghiệp tương tự như HackingTeam của Ý và người dùng cần phải cực kỳ cẩn trọng mã độc này.

RubyMiner

Chưa hết tháng 1, lại thêm loạt mã độc mới thi nhau hoành hành - Ảnh 4.

Ảnh: Benoit Tessier/Reuters

Lại thêm một mã độc nhắm mục tiêu máy chủ Windows và Linux để khai thác tiền điện tử.

Theo các nhà nghiên cứu Check Point, RubyMiner khai thác mỏ XMrig trên các hệ thống dễ bị tấn công để chiếm quyền điều khiển CPU của người dùng và bí mật đào Monero.

Các quốc gia hàng đầu mà kẻ tấn công nhắm tới là Mỹ, Anh, Đức, Na Uy và Thụy Điển. Tuy nhiên, Check Point nói thêm rằng "không có nước nào là không có nguy cơ".

Các cuộc tấn công bắt đầu vào giữa tháng 1 và khai thác 30% mỏ tiền trên mạng trên toàn cầu chỉ trong 24 giờ. Tính đến nay, ước tính có khoảng 700 máy chủ đã bị xâm nhập thành công.

Theo đó, hacker sử dụng một công cụ nhận dạng vân tay trên web được gọi là POF để xác định các máy chủ Linux và Windows bị lỗi, chưa được cài đặt, đang chạy phần mềm lỗi thời để triển khai khai thác mỏ nguồn mở XMrig.

Hiện Check Point cũng đã tìm ra lỗ hổng Oracle WebLogic quan trọng vốn được hacker khai thác để lan truyền mã độc tiền điện tử.

Triton (Trisis)

Triton, còn được gọi là Trisis, là một biến thể của Stuxnet, cho phép hacker truy cập từ xa vào các hệ thống an toàn của các cơ sở năng lượng và hiên đã làm sập một cơ sở dầu khí ở Trung Đông.

Theo nghiên cứu của nhiều công ty an ninh mạng bao gồm FireEye, Dragos, Symantec và Trend Micro, mã độc tập trung vào các hệ thống an toàn của các hệ thống kiểm soát công nghiệp (ICS), đặc biệt nhắm tới hệ thống thiết bị an toàn (SIS) do Triconex của Schneider Electric sản xuất.

Mã độc này cho phép tin tặc phá hủy các hệ thống an toàn và dẫn đến sự cố máy móc, thậm chí gây ra các vụ nổ. Theo Cyberscoop, Triton đã được Schneider Electric vô tình đưa lên VirusTotal và làm lan truyền mã độc này.

Đáp lại cáo buộc đó, Schneider Electric cho biết nhân viên của mình đúng thật có gửi một tập tin lên VirusTotal nhằm tạo điều kiện cho các hãng bảo mật phân tích và ứng phó với mã độc này, nhưng không ngờ mã độc đã được sao chép và lan truyền nhanh hơn thông qua nhiều tài khoản GitHub.

Robert Lee, giám đốc điều hành Dragos, nói với Cyberscoop: "Triton nguy hiểm hơn nhiều so với các mã độc khác vì nó nhắm đến các mối quan tâm lớn hơn như các hệ thống hạ tầng kỹ thuật."

Hiện các chi tiết quan trọng về Triton, chẳng hạn như ai đã tạo ra nó và các khả năng khác nó có thể làm, vẫn chưa được biết. Các công ty an ninh mạng cũng như các cơ quan chính phủ Mỹ, bao gồm cả NSA và DHS, vẫn đang phân tích Triton.

HOÀNG THƯ
Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bình luận (0)
thông tin tài khoản
Được quan tâm nhất Mới nhất Tặng sao cho thành viên