Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018 | HACKER / MALWARE

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

Ngày 13/10/2018, công ty CP An toàn thông tin CyRadar đã công bố thông tin về việc họ đã phát hiện nhiều chiến dịch tấn công mạng theo kiểu mới qua email bằng loại mã độc có tên là NanoCode, nhắm vào người dùng internet. Theo CyRadar, mã độc NanoCore này đặc biệt nguy hiểm, có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính người dùng, đã được các tin tặc sử dụng để thực hiện những chiến dịch tấn công mạng trong thời gian gần đây.

Cụ thể, vào cuối tháng 9/2018, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Tin tặc đã đánh lừa người dùng tải (mở email) và thực thi tệp mã độc trên máy tính. Sau khi được người dùng tải về, mã độc này lập tức thực hiện một loạt các hành vi âm thầm và khéo léo để cài đặt một phần mềm gián điệp trên máy khách. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép tin tặc điều khiển được máy tính từ xa.

Cảnh báo mã độc NanoCore tấn công mạng qua email

Quá trình thực thi mã độc NanoCore

Các tin tặc đã tạo ra những tệp có tên ngẫu nhiên và được viết bằng ngôn ngữ AutoIT, khiến mã độc này có rất nhiều hành vi độc hại như: Anti VM, Anti Sandbox, tắt UAC, tạo key run, tắt task manager, Downloader, inject code mã độc. Các hành vi này sẽ được điều khiển bằng một tệp có cấu hình bfx[.]dat.

Mã độc có tên NanoCore này cũng thực hiện rất nhiều hành vi thông qua cấu hình được lưu trữ ở Resource Directory. Ở đây, mã độc sử dụng các tính năng tạo key khởi động (key run), tạo task scheduler, anti debug, upload và download từ host sarutobi[.]hopto[.]org.

Trong đợt tấn công mạng mới này, tin tặc đã sử dụng một tệp tin cài đặt có tên gọi gdm.exe, vẫn được viết bằng ngôn ngữ AutoIT nhưng lại có dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định. Chính bởi điều này nên mặc dù bên trong têp tin có ẩn giấu mã độc NanoCore, nhưng các phần mềm bảo mật trên thiết bị của nạn nhân không thể nhận ra, hoặc nếu có thể nhận ra thì việc phát hiện cũng rất khó khăn.

Sau khi NanoCore được nạn nhân vô tình kích hoạt sẽ lập tức thực hiện nhiệm vụ đánh cắp tất cả các dữ liệu của nạn nhân, sau đó tiếp tục chiếm quyền điều khiển máy tính, qua đó giúp tin tặc có thể thực hiện mọi điều khiển theo ý muốn từ xa.

Các chuyên gia của CyRdar đưa ra khuyến cáo tới người dùng cá nhân cũng như tổ chức cần nâng cao cảnh giác đối với các "email lạ" và kiểm tra kỹ email nhận được, cũng như các tệp hoặc link đính kèm trong email đó. Với người dùng cá nhân, cần thường xuyên cập nhật phần mềm diệt virus mới nhất. Còn đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công cần khẩn trương cập nhật phần mềm diệt virus đang được sử dụng để đối phó, ngăn chặn khả năng bị lấy mã độc.

PC World

‹ › ×

Tin liên quan

Phần mềm độc hại trên Android lấy cắp tiền từ tài khoản PayPal của người dùng

09:00 | 25/12/2018

Ngày 11/12/2018, Công ty an ninh mạng ESET (Mỹ) đã phát hiện một loại trojan Android mới ẩn mình dưới ứng dụng tối ưu hóa thời lượng pin có thể lấy cắp tiền từ tài khoản PayPal của người dùng, ngay cả khi sử dụng công nghệ xác thực hai yếu tố.

Grayware và phương pháp giảm thiểu tác hại của Grayware

08:00 | 10/04/2019

Mặc dù Grayware (phần mềm xám) đang là một trong những vấn đề phổ biến nhất trong lĩnh vực an ninh mạng, nhưng khái niệm về Grayware vẫn còn tương đối mới mẻ. Vậy Grayware là gì, tại sao trở thành một vấn đề đáng lưu tâm và cần phải đối phó như thế nào? Bài viết cung cấp các thông tin cơ bản, cần thiết về Grayware và hướng dẫn người dùng cách bảo vệ trước Grayware.

Tin cùng chuyên mục

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Tập đoàn bán lẻ ô tô hàng đầu ở Australia bị tấn công mạng

08:00 | 08/01/2024

Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).

Tin tặc tấn công nhiều cảng của Australia

14:00 | 29/11/2023

Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.