Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018 | HACKER / MALWARE

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

Ngày 13/10/2018, công ty CP An toàn thông tin CyRadar đã công bố thông tin về việc họ đã phát hiện nhiều chiến dịch tấn công mạng theo kiểu mới qua email bằng loại mã độc có tên là NanoCode, nhắm vào người dùng internet. Theo CyRadar, mã độc NanoCore này đặc biệt nguy hiểm, có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính người dùng, đã được các tin tặc sử dụng để thực hiện những chiến dịch tấn công mạng trong thời gian gần đây.

Cụ thể, vào cuối tháng 9/2018, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Tin tặc đã đánh lừa người dùng tải (mở email) và thực thi tệp mã độc trên máy tính. Sau khi được người dùng tải về, mã độc này lập tức thực hiện một loạt các hành vi âm thầm và khéo léo để cài đặt một phần mềm gián điệp trên máy khách. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép tin tặc điều khiển được máy tính từ xa.

Cảnh báo mã độc NanoCore tấn công mạng qua email

Quá trình thực thi mã độc NanoCore

Các tin tặc đã tạo ra những tệp có tên ngẫu nhiên và được viết bằng ngôn ngữ AutoIT, khiến mã độc này có rất nhiều hành vi độc hại như: Anti VM, Anti Sandbox, tắt UAC, tạo key run, tắt task manager, Downloader, inject code mã độc. Các hành vi này sẽ được điều khiển bằng một tệp có cấu hình bfx[.]dat.

Mã độc có tên NanoCore này cũng thực hiện rất nhiều hành vi thông qua cấu hình được lưu trữ ở Resource Directory. Ở đây, mã độc sử dụng các tính năng tạo key khởi động (key run), tạo task scheduler, anti debug, upload và download từ host sarutobi[.]hopto[.]org.

Trong đợt tấn công mạng mới này, tin tặc đã sử dụng một tệp tin cài đặt có tên gọi gdm.exe, vẫn được viết bằng ngôn ngữ AutoIT nhưng lại có dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định. Chính bởi điều này nên mặc dù bên trong têp tin có ẩn giấu mã độc NanoCore, nhưng các phần mềm bảo mật trên thiết bị của nạn nhân không thể nhận ra, hoặc nếu có thể nhận ra thì việc phát hiện cũng rất khó khăn.

Sau khi NanoCore được nạn nhân vô tình kích hoạt sẽ lập tức thực hiện nhiệm vụ đánh cắp tất cả các dữ liệu của nạn nhân, sau đó tiếp tục chiếm quyền điều khiển máy tính, qua đó giúp tin tặc có thể thực hiện mọi điều khiển theo ý muốn từ xa.

Các chuyên gia của CyRdar đưa ra khuyến cáo tới người dùng cá nhân cũng như tổ chức cần nâng cao cảnh giác đối với các "email lạ" và kiểm tra kỹ email nhận được, cũng như các tệp hoặc link đính kèm trong email đó. Với người dùng cá nhân, cần thường xuyên cập nhật phần mềm diệt virus mới nhất. Còn đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công cần khẩn trương cập nhật phần mềm diệt virus đang được sử dụng để đối phó, ngăn chặn khả năng bị lấy mã độc.

PC World

‹ › ×

Tin liên quan

Phần mềm độc hại trên Android lấy cắp tiền từ tài khoản PayPal của người dùng

09:00 | 25/12/2018

Ngày 11/12/2018, Công ty an ninh mạng ESET (Mỹ) đã phát hiện một loại trojan Android mới ẩn mình dưới ứng dụng tối ưu hóa thời lượng pin có thể lấy cắp tiền từ tài khoản PayPal của người dùng, ngay cả khi sử dụng công nghệ xác thực hai yếu tố.

Grayware và phương pháp giảm thiểu tác hại của Grayware

08:00 | 10/04/2019

Mặc dù Grayware (phần mềm xám) đang là một trong những vấn đề phổ biến nhất trong lĩnh vực an ninh mạng, nhưng khái niệm về Grayware vẫn còn tương đối mới mẻ. Vậy Grayware là gì, tại sao trở thành một vấn đề đáng lưu tâm và cần phải đối phó như thế nào? Bài viết cung cấp các thông tin cơ bản, cần thiết về Grayware và hướng dẫn người dùng cách bảo vệ trước Grayware.

Tin cùng chuyên mục

Vén màn chiến dịch gián điệp mạng LightSpy

11:00 | 26/04/2024

Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Hệ thống công nghệ thông tin của PVOIL bị tấn công ransomware

09:00 | 03/04/2024

Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.