Close Menu
Trend Micro cảnh báo phần mềm độc hại đang dần thay đổi để tấn công hệ thống bảo mật hiện nay
Trend Micro cảnh báo phần mềm độc hại đang dần thay đổi để tấn công hệ thống bảo mật hiện nay

Mã độc đang dần thay đổi để tấn công hệ thống bảo mật mới

4 phút để đọc

Trojan Rakhni giờ đây có thể “tiến hoá” và cài đặt mã độc đào tiền ảo, lan qua phương thức lừa đảo trực tuyến.

Các nhà nghiên cứu bảo mật từ Trend Micro đã phát hiện ra một tính năng mới của trojan Rakhni (tên phát hiện: TROJ_RAKHNI.F) là cài đặt phần mềm độc hại hoặc mã độc đào tiền ảo tùy vào cấu hình hệ thống nó xâm nhập. Nó hiện đang hoạt động mạnh mẽ tại Nga, Kazakhstan, Ukraine, Đức và Ấn Độ.

Vào năm 2013, hình thức tấn công của Rakhni là được gửi qua email kèm với tài liệu Word hoặc PDF đính kèm cùng với nội dung lưu ý người dùng phải mở nó ra. Sau đó, tệp .DOCX chạy các macro xâm nhập vào hệ thống, quét cấu hình máy tính, kiểm tra cơ sở dữ liệu cụ thể, bản quyền, phần mềm bảo mật và sandbox. Tệp thực thi được Delphi viết sau đó sẽ hiển thị một hộp thoại lý do vì sao tệp PDF không mở được. Sau đó, mã độc sẽ giả dạng hệ thống, yêu cầu người dùng tải xuống các phần mềm độc hại được ngụy trang dưới dạng sản phẩm hợp pháp, với chữ ký số giả mạo của Adobe Systems IncorporatedMicrosoft Corporation, thậm chí còn gửi một yêu cầu HTTP đến trang web của hãng Adobe.

Công nghệ ngày càng phát triển khiến cho phương thức tấn công của tin tặc cũng phải thay đổi, nhưng các công cụ bảo mật vẫn chưa bắt kịp được xu hướng ấy.
Công nghệ ngày càng phát triển khiến cho phương thức tấn công của tin tặc cũng phải thay đổi, nhưng các công cụ bảo mật vẫn chưa bắt kịp được xu hướng ấy.

Nếu phát hiện hệ thống đã cài đặt ví tiền điện tử, phần mềm độc hại sẽ lây nhiễm cho hệ thống bằng phần mềm độc hại (Tên phát hiện: RANSOM_RAKHNI.A). Tuy nhiên, nếu không tìm thấy ví điện tử và phát hiện hệ thống có nhiều hơn hai bộ vi xử lý, nó sẽ tải một phần mềm đào tiền ảo (Tên phát hiện: Coinminer_MALBTC.D-WIN32) và thực hiện việc khai thác tài nguyên từ xa. Nó sử dụng Minergate và cài đặt chứng chỉ giả mạo để khai thác các loại tiền tử như Monero, Monero Original hoặc Dashcoin. Người dùng sẽ thấy thiết bị hoạt động cực kì chậm khi các quá trình từ Dakhni chấm dứt. Các nhà nghiên cứu cũng tìm thấy hoạt động của sâu máy tính, cho phép sao chép chính nó lây lan qua toàn bộ hệ thống máy tính kết nối trong mạng cục bộ. Sâu máy tính này có khả năng vô hiệu hóa toàn bộ chức năng bảo mật của Windows Defender và đồng thời lây nhiễm phần mềm gián điệp cho toàn bộ hệ thống.

Với chỉ 1 lần lây nhiễm, một trojan có thể thực hiện hàng loạt tấn công vào thiết bị, khai thác triệt để hệ thống của nạn nhân.
Với chỉ 1 lần lây nhiễm, một trojan có thể thực hiện hàng loạt tấn công vào thiết bị, khai thác triệt để hệ thống của nạn nhân.

Tính năng này sẽ giúp tối ưu hóa cuộc tấn công, vì không phải tất cả nạn nhân bị nhiễm phần mềm độc hại đều trả tiền chuộc để lấy lại quyền truy cập dữ liệu. Sự hiện diện của ví tiền điện tử trong hệ thống biểu thị rằng người dùng có khả năng thanh toán tiền chuộc và hệ thống của tin tặc sẽ giữ thông tin có giá trị để tống tiền nạn nhân.

Mỗi người đều có thể trở thành mục tiêu tấn công của tin tặc, là mấu chốt để những kẻ tấn công xâm nhập vào hệ thống toàn công ty. Đảm bảo hệ thống của bạn được bảo vệ khỏi mối đe dọa với các đề xuất từ Trend Micro sau đây:

  • Cẩn thận với các email và tệp đính kèm đáng ngờ với yêu cầu cung cấp thông tin cá nhân ngay lập tức, yêu cầu bổ sung thông tin từ nhà cung câp, hành chính, nhân sự và ngay cả chính phủ. Trực tiếp liên hệ với nguồn cung cấp thông tin qua địa chỉ liên lạc thực tế chính thức, thay vì nhấp trực tiếp vào liên kết được gửi trong nội dung email.
  • Cập nhật các bản vá lỗi mới nhất từ các nhà phát triển hợp pháp.
  • Bật tường lửa hệ thống và giữ cho chương trình diệt virus luôn chạy ở mức bảo mật cao nhất, giúp ngăn chặn nỗ lực xâm nhập của tin tặc.

Chia sẻ.

Bài viết liên quan