Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018 | HACKER / MALWARE

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

Ngày 13/10/2018, công ty CP An toàn thông tin CyRadar đã công bố thông tin về việc họ đã phát hiện nhiều chiến dịch tấn công mạng theo kiểu mới qua email bằng loại mã độc có tên là NanoCode, nhắm vào người dùng internet. Theo CyRadar, mã độc NanoCore này đặc biệt nguy hiểm, có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính người dùng, đã được các tin tặc sử dụng để thực hiện những chiến dịch tấn công mạng trong thời gian gần đây.

Cụ thể, vào cuối tháng 9/2018, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Tin tặc đã đánh lừa người dùng tải (mở email) và thực thi tệp mã độc trên máy tính. Sau khi được người dùng tải về, mã độc này lập tức thực hiện một loạt các hành vi âm thầm và khéo léo để cài đặt một phần mềm gián điệp trên máy khách. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép tin tặc điều khiển được máy tính từ xa.

Cảnh báo mã độc NanoCore tấn công mạng qua email

Quá trình thực thi mã độc NanoCore

Các tin tặc đã tạo ra những tệp có tên ngẫu nhiên và được viết bằng ngôn ngữ AutoIT, khiến mã độc này có rất nhiều hành vi độc hại như: Anti VM, Anti Sandbox, tắt UAC, tạo key run, tắt task manager, Downloader, inject code mã độc. Các hành vi này sẽ được điều khiển bằng một tệp có cấu hình bfx[.]dat.

Mã độc có tên NanoCore này cũng thực hiện rất nhiều hành vi thông qua cấu hình được lưu trữ ở Resource Directory. Ở đây, mã độc sử dụng các tính năng tạo key khởi động (key run), tạo task scheduler, anti debug, upload và download từ host sarutobi[.]hopto[.]org.

Trong đợt tấn công mạng mới này, tin tặc đã sử dụng một tệp tin cài đặt có tên gọi gdm.exe, vẫn được viết bằng ngôn ngữ AutoIT nhưng lại có dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định. Chính bởi điều này nên mặc dù bên trong têp tin có ẩn giấu mã độc NanoCore, nhưng các phần mềm bảo mật trên thiết bị của nạn nhân không thể nhận ra, hoặc nếu có thể nhận ra thì việc phát hiện cũng rất khó khăn.

Sau khi NanoCore được nạn nhân vô tình kích hoạt sẽ lập tức thực hiện nhiệm vụ đánh cắp tất cả các dữ liệu của nạn nhân, sau đó tiếp tục chiếm quyền điều khiển máy tính, qua đó giúp tin tặc có thể thực hiện mọi điều khiển theo ý muốn từ xa.

Các chuyên gia của CyRdar đưa ra khuyến cáo tới người dùng cá nhân cũng như tổ chức cần nâng cao cảnh giác đối với các "email lạ" và kiểm tra kỹ email nhận được, cũng như các tệp hoặc link đính kèm trong email đó. Với người dùng cá nhân, cần thường xuyên cập nhật phần mềm diệt virus mới nhất. Còn đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công cần khẩn trương cập nhật phần mềm diệt virus đang được sử dụng để đối phó, ngăn chặn khả năng bị lấy mã độc.

PC World

‹ › ×

Tin liên quan

Phần mềm độc hại trên Android lấy cắp tiền từ tài khoản PayPal của người dùng

09:00 | 25/12/2018

Ngày 11/12/2018, Công ty an ninh mạng ESET (Mỹ) đã phát hiện một loại trojan Android mới ẩn mình dưới ứng dụng tối ưu hóa thời lượng pin có thể lấy cắp tiền từ tài khoản PayPal của người dùng, ngay cả khi sử dụng công nghệ xác thực hai yếu tố.

Grayware và phương pháp giảm thiểu tác hại của Grayware

08:00 | 10/04/2019

Mặc dù Grayware (phần mềm xám) đang là một trong những vấn đề phổ biến nhất trong lĩnh vực an ninh mạng, nhưng khái niệm về Grayware vẫn còn tương đối mới mẻ. Vậy Grayware là gì, tại sao trở thành một vấn đề đáng lưu tâm và cần phải đối phó như thế nào? Bài viết cung cấp các thông tin cơ bản, cần thiết về Grayware và hướng dẫn người dùng cách bảo vệ trước Grayware.

Tin cùng chuyên mục

Hơn 700.000 bộ định tuyến DrayTek đang là mục tiêu dễ bị tấn công từ xa

14:00 | 11/10/2024

Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.

FBI triệt phá nhóm tin tặc mã độc tống tiền khét tiếng Dispossessor

21:00 | 29/08/2024

Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.

Phát hành tập lệnh khai thác lỗ hổng trên các máy chủ Progress Telerik Report

10:00 | 04/07/2024

Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.

Lỗ hổng RCE nghiêm trọng được phát hiện trong Công cụ cơ sở hạ tầng AI của Ollama

14:00 | 02/07/2024

Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).