Cảnh báo mã độc khi tải nhầm Windows11 giả mạo

www.tuoitre.vn -   18/04/2022 12:00:00 724

Hacker đang dụ những người dùng ngây thơ tải về Windows 11 giả mạo có chứa mã độc đánh cắp dữ liệu trình duyệt và ví tiền điện tử. Trong chiến dịch vẫn đang hoạt động này, hacker tạo ra một trang web bắt chước trang quảng cáo Windows 11 của Microsoft. Sau đó, chúng dùng các thủ thuật SEO bẩn để đưa tran giả mạo này lên top kết quả tìm kiếm Google.

Cảnh báo mã độc khi tải nhầm Windows11 giả mạo

Trang web giả có logo, biểu tượng y hệt trang chính chủ của Microsoft và có nút "Download Now" đầy mời gọi. Khi nhấn nút tải xuống, người dùng sẽ nhận được một tệp ISO chứa phần mềm đánh cắp thông tin ở bên trong. Hacker cũng thiết kế để người dùng chỉ có thể tải file trực tiếp, không khả dụng qua TOR hay VPN.

Phần mềm độc hại này đã được các nhà nghiên cứu về mối đe dọa an ninh mạng tại CloudSEK phân tích khá chi tiết.

Quá trình lây nhiễm

Theo CloudSEK, hacker đứng đằng sau chiến dịch này sử dụng một phần mềm độc hại mới. Các nhà nghiên cứu đặt tên cho nó là "Inno Stealer" do nó sử dụng trình cài đặt Inno Setup Windows.

Các nhà nghiên cứu nói rằng Inno Stealer không có bất cứ dòng code nào giống với phần mềm độc hại mà các nhóm hacker đánh cắp thông tin hiện tại đang dùng. Ngoài ra, chưa có bằng chứng nào về việc Inno Stealer được tải lên nền tảng quét Virus Total.

Tệp trình tải (lập trình bằng Delphi) là tệp thực thi "Windows 11 setup" có trong file ISO. Khi khởi chạy, tệp này sẽ tạo ra kết xuất tệp tạm thời có tên là is-PN131.tmp và tạo tệp .TMP khác trong đó trình tải ghi 3.078KB dữ liệu.

CloudSEK giải thích rằng trình tải tạo ra một quy trình mới bằng cách sử dụng API CreateProcess Windows, giúp sinh ra quy trình mới, thiết lập tính bền bỉ và tạo bốn tệp.

Tính bền bỉ được tạo ra bằng cách thêm tệp .LNK (shortcut) trong thư mục Startup và sử dụng icacls.exe để đặt quyền truy cập của nó về dạng lén lút.

Hai trong số bốn tệp được thêm vào là Windows Command Scripts để vô hiệu hóa bảo mật Registry, thêm ngoại lệ vào Defender, gỡ cài đặt các sản phẩm bảo mật và xóa các volume shadow.

Cảnh báo mã độc khi tải nhầm Windows11 giả mạo

Theo các nhà nghiên cứu, mã độc này cũng loại bỏ các giải pháp bảo mật của hãng Emisoft và ESET, có thể là do những sản phẩm này phát hiện ra nó là phần mềm độc hại.

Tệp thứ ba là một tiện ích thực thi lệnh chạy với các đặc quyền hệ thống cao nhất và tệp thứ tư là một tập lệnh VBA cần thiết để chạy dfl.cmd.

Ở giai đoạn thứ 2 của quá trình lây nhiễm, một tệp có phần mở rộng là .SCR được đưa vào thư mục C:\Users\AppData\Roaming\Windows11InsstallationAssistant của máy bị nhiễm.

Tệp đó là tác nhân giải nén những payload đánh cắp thông tin và thực thi nó bằng cách tạo ra một quy trình mới có tên "Windows11InstallationAssistant.scr" giống hệt chính nó.

Inno Stealer có thể làm gì?

Inno Stealer có các khả năng như thu thập cookie và thông tin đăng nhập được lưu trữ của trình duyệt web, dữ liệu trong ví tiền điện tử và dữ liệu từ hệ thống file. Hầu như mọi chức năng cần thiết của một phần mềm độc hại trong lĩnh vực này Inno Stealer đểu có.

Tập hợp các trình duyệt và ví tiền điện tử mà Inno Stealer nhắm vào rất rộng, bao gồm Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser và Comodo.

Một đặc điểm thú vị khác của Inno Stealer đó là các chức năng ăn cắp dữ liệu và quản lý mạng đều hoạt động đa luồng. Ngoài ra, nó còn có thể tải về thêm các payload khác để thực hiện những hoạt động bổ sung như đánh cắp thông tin trong clipboard và lấy dữ liệu liệt kê thư mục.

Khuyến cáo từ các chuyên gia bảo mật:

Đây không phải là lần đầu tiên hacker lợi dụng nhu cầu tải về và cài đặt Windows 11 để phát tán mã độc. Bạn nên tránh tải về các tệp ISO từ nguồn không đảm bảo và tốt nhất là nâng cấp lên Windows 11 từ menu Settings của Windows 10.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 45
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 45
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 44
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 44
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 32
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 24
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ