Chủ đề

Phát hiện phương thức lây nhiễm mới của mã độc Smoke Loader

(Không gian mạng) - Một phương thức mới trong kỹ thuật lây nhiễm chưa từng thấy trước đây vừa xuất hiện. Một loại mã độc mạnh mẽ được dùng để lây nhiễm Trojan, mã độc tống tiền và phần mềm đào tiền ảo vừa được nâng cấp thêm một kỹ thuật mới hiếm thấy.

1-1495024691819-0-28-359-607-crop-1495024716470

Từng góp mặt trong các chiến dịch email giả mạo, mã độc Smoke Loader xuất hiện từ năm 2011 với tần suất không thường xuyên nhưng vẫn tiếp tục được phát triển. Mã độc này đặc biệt hoạt động mạnh trong suốt năm 2018 với nhiều chiến dịch phát tán Smoke Loader qua các bản vá lỗi giả mạo dành cho lỗ hổng Meltdown và Spectre, nổi lên vào đầu năm 2018.

Thường được phát tán qua các chiến dịch email giả mạo, cuộc tấn công bắt đầu bằng một tập tin Microsoft Work đính kèm, lừa người dùng mở macro để kích hoạt mã độc Smoke Loader và cài nó vào hệ thống, cho phép mã độc phát tán phần mềm độc hại phụ.

Các chuyên gia tại hãng bảo mật Cisco Talos (Mỹ) đã theo sát Smoke Loader trong một khoảng thời gian và quan sát được những chiến dịch mới nhất của nó. Một trong những trình tải đang được ưu tiên sử dụng là TrickBot – một mã độc ngân hàng được thiết kế để đánh cắp thông tin đăng nhập, mật khẩu và nhiều thông tin nhạy cảm khác. Email lừa đảo phát tán mã độc được thiết kế trông giống như một thư yêu cầu hóa đơn từ một công ty phần mềm.

Điều làm các chuyên gia ngạc nhiên là Smoke Loader hiện đang dùng một kỹ thuật lây nhiễm mà trước đó chưa mã độc từng sử dụng. Kỹ thuật lây nhiễm này được biết đến với tên gọi PROPagate và được xem là một phương thức lây nhiễm tiềm năng lần đầu tiên vào cuối năm 2017.

Kỹ thuật này lợi dụng hàm SetWindowsSubclass – một quy trình dùng để cài đặt hoặc cập nhật kỹ thuật subclass windows chạy trên hệ thống – dùng để sửa đổi thuộc tính của windows đang chạy trên cùng một session. Điều này có thể được sử dụng để tiêm nhiễm mã code và thả tập tin trong khi vẫn dấu được hoạt động thật đang diễn ra, giúp nó trở nên hữu ích cho các cuộc tấn công.

smoke-loader-phishing-email

Dường như tin tặc đã xem kỹ các bài viết công khai về PROPagate để tái tạo lại kỹ thuật này, làm cho nó trở thành kỹ thuật lây nhiễm của mình.

Thủ phạm đằng sau quy trình này cũng đã thêm vào nhiều kỹ thuật gây khó khăn cho các nhà nghiên cứu muốn phân tích, dò quét virus, truy tìm và gỡ lỗi trên mã độc.

Trong khi có rất nhiều cuộc tấn công Smoke Loader phát tán mã độc vào hệ thống bị lây nhiễm, thì trong một số trường hợp mã độc này được trang bị thẳng các plug-in để trực tiếp thực hiện những nhiệm vụ độc hại.

Mỗi plug-in đều được thiết kế để đánh cắp thông tin nhạy cảm, đặc biệt là những thông tin đăng nhập và nhạy cảm truyền qua trình duyệt như: Firefox, Internet Explorer, Chrome, Opera, QQ Browser, Outlook, và Thunderbird.

Mã độc thậm chí còn có thể lây nhiễm vào những ứng dụng như TeamViewer, làm cho thông tin của nhiều người trên cùng một hệ thống cũng tiềm ẩn nguy cơ bị lây nhiễm.

Có thể, Smoke Loader được trang bị những kỹ năng này bởi các tác giả mã độc hiện nay thường không hay quảng cáo về khả năng cài đặt các loại mã độc khác vào hệ thống lây nhiễm. Hoặc đây có thể là một cách lợi dụng botnet để phục vụ cho mục đích của họ. Dù là gì đi chăng nữa, các tổ chức cần phải cẩn trọng trước những mối đe dọa tiềm năng.

Cisco Talos nhận định: “Như chúng ta thấy thì thị trường trojan và botnet đang liên tục thay đổi. Tin tặc liên tục phát triển năng lực và kỹ thuật của mình. Chúng không ngừng sửa đổi để nâng cấp khả năng vượt qua các công cụ bảo mật. Điều này rõ ràng cho thấy tầm quan trọng chắc chắn của việc cập nhật hệ thống”.

Lâm Quang Dũng (Lược dịch từ: ZDNet)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: