Hacker khai thác mã nhị phân VMWare lan truyền mã độc

www.tuoitre.vn -   05/10/2017 12:00:00 3231

Các nhà nghiên cứu đã phát hiện ra một Trojan chuyên tấn công các hệ thống ngân hàng tạo ra bằng cách khai thác mã nhị phân của VMware nhằm đánh lừa các công cụ bảo mật tiên tiến hiện nay.

Hacker khai thác mã nhị phân VMWare lan truyền mã độc

Theo các nhà nghiên cứu bảo mật Cisco Talos thì gần đây đã xuất hiện một loại phần mềm độc hại mới tại Brazil, nhắm đến các ngân hàng khu vực Nam Mỹ để đánh cắp thông tin cá nhân của khách hàng và trục lợi tài chính.

Mã độc này là một loại Trojan ẩn. Do đó, các tổ chức tài chính cũng như ngân hàng phải nâng cao sự cảnh giác và đảm bảo rằng từ nhân viên đến khách hàng phải tuân theo các quy tắc tốt nhất để phòng tránh các cuộc tấn công an ninh mạng.

Hacker sẽ gửi email Spam bằng tiến Bồ Đào Nha vì người dùng có khuynh hướng mở email được viết bằng tiếng mẹ đẻ của họ. Trong thư có đính kèm hóa đơn Boleto, một phương thức thanh toán phổ biến ở Brazil.

Hóa đơn này là một tệp tin độc hại có kèm URL chuyển hướng người dùng đến một thư mục RAR có chứa tệp tin JAR. Người dùng nhấp đúp vào tệp JAR sẽ kích hoạt quy trình Java khởi tạo mã độc hại và cài đặt Trojan vào thiết bị của người dùng. Sau đó, mã Java thiết lập phần mềm độc hại và liên kết máy chủ từ xa nhằm tải xuống hàng loạt các tệp bổ sung. Mã này sẽ đổi tên thành vm.png, một mã nhị phân như chính hãng VMware để đánh lừa các chương trình bảo mật.

Nếu mã nhị phân ban đầu tương tự như vm.png được chấp nhận thì người dùng sẽ đinh ninh các tập tin tiếp theo cũng đáng tin cậy. Nhờ đó mà hacker sẽ vượt qua được các cổng kiểm tra an ninh.

Chẳng hạn như mã nhị phân vmwarebase.dll khi được kích hoạt sẽ cho phép lan truyền mã prs.png trên explorer.exe hoặc notepad.exe, tạo ra chế độ đăng ký tự động và kiểm tra xem người dùng có tương tác với các tổ chức tài chính của Brazil hay không. Sau đó, người dùng sẽ bị lừa để tiết lộ thông tin quan trọng, chẳng hạn như chi tiết đăng nhập của họ.

Nhóm bảo mật thông báo rằng trojan còn sử dụng nhiều mã nhị phân khác được tích hợp với các công cụ bảo vệ phần mềm Themida nên rất khó phân biệt được đâu là mã thật, đâu là mã giả và khó giải quyết các mối đe dọa nguy hiểm này.

Các nhà quản lý công nghệ thông tin nên thêm trường hợp này vào danh sách nguy cơ phần mềm độc hại cần đối phó và đảm bảo thực hiện các biện pháp bảo mật tốt nhất để bảo vệ người dùng như cẩn thận khi mở các liên kết và tệp đính kèm, không tải tệp từ các trang web lạ và cài đặt phần mềm chống virus đầy đủ.

Theo Tuổi Trẻ

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 277
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 89
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 390
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 284
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 49
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 38
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ