Các nhà nghiên cứu Bitdefender cho biết trong một báo cáo: “Những hacker mũ đen tạo ra mã độc MosaicLoader với mục đích là một phần mềm có thể sử dụng để đưa các phần payload độc hại khác vào hệ thống. Mã độc này được đưa vào hệ thống mục tiêu bằng cách giả dạng các chương trình bị bẻ khóa. Sau khi lây nhiễm thành công, nó sẽ lấy danh sách URL từ máy chủ C2 và tải xuống và thực thi các payload độc hại khác từ các liên kết đã nhận".
Mã độc được đặt tên là MosaicLoader vì cấu trúc bên trong phức tạp của nó được sắp xếp để ngăn chặn kỹ thuật dịch ngược và phân tích. Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật được thiết lập tốt để phân phối phần mềm độc hại được gọi là đầu độc tối ưu hóa công cụ tìm kiếm (SEO). Cụ thể, các hacker mũ đen sẽ mua các vị trí quảng cáo trong kết quả của công cụ tìm kiếm để các liên kết đến phần mềm độc hại làm kết quả hàng đầu khi người dùng tìm kiếm các cụm từ liên quan đến phần mềm vi phạm bản quyền.
Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm để tìm nạp các payload độc hại ở giai đoạn tiếp theo từ những máy chủ từ xa và cũng thêm các ngoại lệ trong Windows Defender cho các tệp thực thi đã tải xuống để ngăn chặn chúng bị phát hiện trong quá trình quét virus.
Luồng thực thi của mã độc MosaicLoader
Người dùng có thể kiểm tra danh sách các ngoại lệ cho trình diệt virus Windows Defense:
Đăng Thứ
13:00 | 04/08/2021
08:00 | 26/08/2021
10:00 | 15/08/2021
16:00 | 19/07/2021
18:00 | 14/07/2021
18:00 | 15/07/2021
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024