Sophos cho biết, 23% số lượng mã độc mà họ phát hiện vào năm 2020 đã được mã hóa bằng giao thức Bảo mật Tầng Giao vận (Transport Layer Security - TLS). Tuy nhiên, trong ba tháng đầu năm 2021, con số này đã tăng lên gần 46%.
Nhà nghiên cứu cấp cao về mối đe dọa của hãng là Sean Gallagher giải thích rằng, sự gia tăng này có thể liên quan đến sự gia tăng tổng thể trong việc các tác nhân đe dọa lạm dụng việc sử dụng TLS của các dịch vụ web phổ biến.
Ông giải thích, một phần lớn sự gia tăng trong việc lợi dụng TLS có thể liên quan đến việc tăng cường sử dụng các dịch vụ web và đám mây hợp pháp được bảo vệ bởi TLS, chẳng hạn như Discord, Pastebin, GitHub và các dịch vụ đám mây của Google. Các dịch vụ này đã trở thành kho lưu trữ các thành phần mã độc, như là điểm chuyển tới để lưu trữ dữ liệu bị đánh cắp, và thậm chí để gửi lệnh tới mạng botnet và các loại mã độc khác.
Theo ông, điều này cũng liên quan đến việc tăng cường sử dụng trình duyệt Tor và các proxy mạng dựa trên TLS khác để đóng gói các thông tin liên lạc độc hại giữa mã độc và các tác nhân độc hại triển khai chúng.
Ông Gallagher tuyên bố, thách thức đặt ra là tin tặc sử dụng các dịch vụ này không chỉ che giấu hành vi của mình khỏi các công cụ bảo mật, mà còn được hưởng lợi từ sự “an toàn” của các nền tảng nổi tiếng này.
Gần một nửa số mã độc được mã hóa đã được gửi đến các máy chủ ở Mỹ và Ấn Độ trong quý 1/2021, trong đó các dịch vụ đám mây của Google là điểm chuyển tới của 9% mã độc TLS, và dịch vụ đám mây của BSNL (một doanh nghiệp thuộc chính phủ và là nhà cung cấp dịch vụ viễn thông) của Ấn Độ với 6%.
Ông Gallagher cho hay, Sophos cũng đã thấy sự gia tăng trong việc sử dụng mã hóa TLS trong các cuộc tấn công mã độc tống tiền tùy chỉnh, dưới dạng “công cụ tấn công mô-đun” sử dụng HTTPS. Tuy nhiên, phần lớn lưu lượng truy cập TLS độc hại là từ mã độc được thiết kế để thực hiện sự xâm nhập nạn nhân vào giai đoạn đầu - ví dụ: trình tải, trình nhỏ giọt và trình cài đặt dựa trên tài liệu.
Theo Gallagher, mã hóa TLS cũng đang bị sử dụng để che giấu việc trích xuất dữ liệu từ các mạng bị xâm nhập và giao tiếp với máy chủ C&C.
Đỗ Đoàn Kết
(Theo Info Security)
09:00 | 28/02/2019
07:00 | 06/07/2018
13:00 | 11/06/2021
13:00 | 09/05/2018
15:00 | 09/06/2021
17:00 | 19/11/2021
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
10:00 | 18/07/2024
Theo báo cáo được các chuyên gia của hãng nghiên cứu bảo mật TRM Labs (Mỹ) cho biết, số tiền mã hóa bị đánh cắp trong các vụ tấn công mạng trên toàn cầu đã tăng hơn gấp đôi trong nửa đầu năm 2024 so với cùng kỳ năm ngoái.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024