Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

17:00 | 28/07/2021 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng đã thông báo về một dòng mã đôc mới có tên là "MosaicLoader" chưa từng thấy trước đây. Đây là một mã độc đặc biệt có khả năng tự ẩn mình trong thư mục loại trừ của Windows Defense để tránh bị phát hiện.

Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

Các nhà nghiên cứu Bitdefender cho biết trong một báo cáo: “Những hacker mũ đen tạo ra mã độc MosaicLoader với mục đích là một phần mềm có thể sử dụng để đưa các phần payload độc hại khác vào hệ thống. này được đưa vào hệ thống mục tiêu bằng cách giả dạng các chương trình bị bẻ khóa. Sau khi lây nhiễm thành công, nó sẽ lấy danh sách URL từ máy chủ C2 và tải xuống và thực thi các payload độc hại khác từ các liên kết đã nhận".

được đặt tên là MosaicLoader vì cấu trúc bên trong phức tạp của nó được sắp xếp để ngăn chặn kỹ thuật dịch ngược và phân tích. liên quan đến MosaicLoader dựa trên một chiến thuật được thiết lập tốt để phân phối phần mềm độc hại được gọi là đầu độc tối ưu hóa công cụ tìm kiếm (SEO). Cụ thể, các hacker mũ đen sẽ mua các vị trí quảng cáo trong kết quả của công cụ tìm kiếm để các liên kết đến phần mềm độc hại làm kết quả hàng đầu khi người dùng tìm kiếm các cụm từ liên quan đến phần mềm vi phạm bản quyền.

Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm để tìm nạp các payload độc hại ở giai đoạn tiếp theo từ những máy chủ từ xa và cũng thêm các ngoại lệ trong Windows Defender cho các tệp thực thi đã tải xuống để ngăn chặn chúng bị phát hiện trong quá trình quét virus.

Luồng thực thi của mã độc MosaicLoader

Người dùng có thể kiểm tra danh sách các ngoại lệ cho trình diệt virus Windows Defense:

Ngoại lệ cho các tệp và thư mục - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
Ngoại lệ cho các định dạng tệp - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
Ngoại lệ cho các quy trình - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

Đăng Thứ

‹ › ×

Tin liên quan

Tin tặc dùng hồ sơ trực tuyến lừa người dùng tải mã độc

13:00 | 04/08/2021

Một chiến dịch gián điệp mạng được cho là có liên quan đến quân đội Iran đã lừa các nạn nhân bằng cách dùng các hồ sơ mạng xã hội giả để đánh cắp tên, mật khẩu và các thông tin nhạy cảm khác của người dùng.

Phát hiện mã độc đánh cắp dữ liệu trên Android sử dụng công nghệ Virtual Network Computing

08:00 | 26/08/2021

Các chuyên gia bảo mật tại Threat Fabric (Hà Lan) vừa phát hiện một trojan trên Android với tên gọi Vultur, có khả năng ghi lại mọi hoạt động trên màn hình điện thoại, từ đó đánh cắp những thông tin cá nhân quan trọng của người dùng, bao gồm tài khoản ngân hàng và tiền điện tử.

Quy trình ứng cứu, xử lý sự cố mã độc

10:00 | 15/08/2021

Mã độc đã trở thành mối lo ngại mất an toàn thông tin “ám ảnh và dai dẳng” đối với các tổ chức, doanh nghiệp. Đặc biệt, với sự xuất hiện ngày càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn công có chủ đích… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn công này.

Tin tặc phát tán mã độc mới BIOPASS thông qua các website cờ bạc trực tuyến của Trung Quốc

16:00 | 19/07/2021

Mới đây, các nhà nghiên cứu an ninh mạng của Trend Micro vừa đưa ra cảnh báo về một loại Trojan truy cập từ xa (RAT) mới có tên là BIOPASS đang tấn công vào các công ty cờ bạc trực tuyến ở Trung Quốc dưới dạng một cuộc tấn công lỗ hổng.

Chiến dịch giả mạo phát tán mã độc lợi dụng tấn công vào Kaseya VSA

18:00 | 14/07/2021

Đầu tháng 7/2021, tin tặc đã triển khai tấn công mã độc tống tiền vào 1.500 tổ chức, trong đó có nhiều tổ chức cung cấp hỗ trợ kỹ thuật và bảo mật công nghệ thông tin cho các công ty khác. Qua đó, đã khai thác một lỗ hổng trong phần mềm của Kaseya, một công ty có trụ sở tại Miami có sản phẩm giúp quản trị viên hệ thống quản lý các mạng lớn từ xa.

Mã độc tống tiền: mối nguy hiểm chưa có lời giải đáp

18:00 | 15/07/2021

Mất tiền chuộc, doanh thu, rò rỉ thông tin quan trọng, tổn hại đến thương hiệu và danh tiếng, phải sa thải nhân viên, thậm chí phải đóng cửa doanh nghiệp là một số hậu quả của tấn công mã độc tống tiền để lại cho các tổ chức/doanh nghiệp.

Tin cùng chuyên mục

Hiểm họa an ninh mạng do tấn công mã độc nhằm vào các bệnh viện toàn cầu

09:00 | 14/11/2024

Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.

Lỗ hổng mới của GitLab có thể cho phép thực thi CI/CD Pipeline tùy ý

10:00 | 18/10/2024

GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.

Cloudflare ngăn chặn cuộc tấn công DDoS lớn nhất từ trước đến nay với tốc độ 3,8 Tbps

13:00 | 09/10/2024

Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.

5 cách tin tặc vượt qua xác thực hai yếu tố

14:00 | 24/09/2024

Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.