Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

17:00 | 28/07/2021 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng đã thông báo về một dòng mã đôc mới có tên là "MosaicLoader" chưa từng thấy trước đây. Đây là một mã độc đặc biệt có khả năng tự ẩn mình trong thư mục loại trừ của Windows Defense để tránh bị phát hiện.

Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

Các nhà nghiên cứu Bitdefender cho biết trong một báo cáo: “Những hacker mũ đen tạo ra mã độc MosaicLoader với mục đích là một phần mềm có thể sử dụng để đưa các phần payload độc hại khác vào hệ thống. Mã độc này được đưa vào hệ thống mục tiêu bằng cách giả dạng các chương trình bị bẻ khóa. Sau khi lây nhiễm thành công, nó sẽ lấy danh sách URL từ máy chủ C2 và tải xuống và thực thi các payload độc hại khác từ các liên kết đã nhận".

Mã độc được đặt tên là MosaicLoader vì cấu trúc bên trong phức tạp của nó được sắp xếp để ngăn chặn kỹ thuật dịch ngược và phân tích. Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật được thiết lập tốt để phân phối phần mềm độc hại được gọi là đầu độc tối ưu hóa công cụ tìm kiếm (SEO). Cụ thể, các hacker mũ đen sẽ mua các vị trí quảng cáo trong kết quả của công cụ tìm kiếm để các liên kết đến phần mềm độc hại làm kết quả hàng đầu khi người dùng tìm kiếm các cụm từ liên quan đến phần mềm vi phạm bản quyền.

Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm để tìm nạp các payload độc hại ở giai đoạn tiếp theo từ những máy chủ từ xa và cũng thêm các ngoại lệ trong Windows Defender cho các tệp thực thi đã tải xuống để ngăn chặn chúng bị phát hiện trong quá trình quét virus.

Luồng thực thi của mã độc MosaicLoader

Người dùng có thể kiểm tra danh sách các ngoại lệ cho trình diệt virus Windows Defense:

Ngoại lệ cho các tệp và thư mục - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
Ngoại lệ cho các định dạng tệp - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
Ngoại lệ cho các quy trình - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

Đăng Thứ

‹ › ×

Tin liên quan

Tin tặc dùng hồ sơ trực tuyến lừa người dùng tải mã độc

13:00 | 04/08/2021

Một chiến dịch gián điệp mạng được cho là có liên quan đến quân đội Iran đã lừa các nạn nhân bằng cách dùng các hồ sơ mạng xã hội giả để đánh cắp tên, mật khẩu và các thông tin nhạy cảm khác của người dùng.

Phát hiện mã độc đánh cắp dữ liệu trên Android sử dụng công nghệ Virtual Network Computing

08:00 | 26/08/2021

Các chuyên gia bảo mật tại Threat Fabric (Hà Lan) vừa phát hiện một trojan trên Android với tên gọi Vultur, có khả năng ghi lại mọi hoạt động trên màn hình điện thoại, từ đó đánh cắp những thông tin cá nhân quan trọng của người dùng, bao gồm tài khoản ngân hàng và tiền điện tử.

Quy trình ứng cứu, xử lý sự cố mã độc

10:00 | 15/08/2021

Mã độc đã trở thành mối lo ngại mất an toàn thông tin “ám ảnh và dai dẳng” đối với các tổ chức, doanh nghiệp. Đặc biệt, với sự xuất hiện ngày càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn công có chủ đích… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn công này.

Tin tặc phát tán mã độc mới BIOPASS thông qua các website cờ bạc trực tuyến của Trung Quốc

16:00 | 19/07/2021

Mới đây, các nhà nghiên cứu an ninh mạng của Trend Micro vừa đưa ra cảnh báo về một loại Trojan truy cập từ xa (RAT) mới có tên là BIOPASS đang tấn công vào các công ty cờ bạc trực tuyến ở Trung Quốc dưới dạng một cuộc tấn công lỗ hổng.

Chiến dịch giả mạo phát tán mã độc lợi dụng tấn công vào Kaseya VSA

18:00 | 14/07/2021

Đầu tháng 7/2021, tin tặc đã triển khai tấn công mã độc tống tiền vào 1.500 tổ chức, trong đó có nhiều tổ chức cung cấp hỗ trợ kỹ thuật và bảo mật công nghệ thông tin cho các công ty khác. Qua đó, đã khai thác một lỗ hổng trong phần mềm của Kaseya, một công ty có trụ sở tại Miami có sản phẩm giúp quản trị viên hệ thống quản lý các mạng lớn từ xa.

Mã độc tống tiền: mối nguy hiểm chưa có lời giải đáp

18:00 | 15/07/2021

Mất tiền chuộc, doanh thu, rò rỉ thông tin quan trọng, tổn hại đến thương hiệu và danh tiếng, phải sa thải nhân viên, thậm chí phải đóng cửa doanh nghiệp là một số hậu quả của tấn công mã độc tống tiền để lại cho các tổ chức/doanh nghiệp.

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.

Lỗ hổng mới trong cảm biến vân tay cho phép kẻ tấn công vượt qua xác thực đăng nhập của Windows Hello

09:00 | 24/11/2023

Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.