Hacker khai thác mã nhị phân VMWare lan truyền mã độc

www.tuoitre.vn - 05/10/2017 12:00:00 3046

Các nhà nghiên cứu đã phát hiện ra một Trojan chuyên tấn công các hệ thống ngân hàng tạo ra bằng cách khai thác mã nhị phân của VMware nhằm đánh lừa các công cụ bảo mật tiên tiến hiện nay.

Theo các nhà nghiên cứu bảo mật Cisco Talos thì gần đây đã xuất hiện một loại phần mềm độc hại mới tại Brazil, nhắm đến các ngân hàng khu vực Nam Mỹ để đánh cắp thông tin cá nhân của khách hàng và trục lợi tài chính.

Mã độc này là một loại Trojan ẩn. Do đó, các tổ chức tài chính cũng như ngân hàng phải nâng cao sự cảnh giác và đảm bảo rằng từ nhân viên đến khách hàng phải tuân theo các quy tắc tốt nhất để phòng tránh các cuộc tấn công an ninh mạng.

Hacker sẽ gửi email Spam bằng tiến Bồ Đào Nha vì người dùng có khuynh hướng mở email được viết bằng tiếng mẹ đẻ của họ. Trong thư có đính kèm hóa đơn Boleto, một phương thức thanh toán phổ biến ở Brazil.

Hóa đơn này là một tệp tin độc hại có kèm URL chuyển hướng người dùng đến một thư mục RAR có chứa tệp tin JAR. Người dùng nhấp đúp vào tệp JAR sẽ kích hoạt quy trình Java khởi tạo mã độc hại và cài đặt Trojan vào thiết bị của người dùng. Sau đó, mã Java thiết lập phần mềm độc hại và liên kết máy chủ từ xa nhằm tải xuống hàng loạt các tệp bổ sung. Mã này sẽ đổi tên thành vm.png, một mã nhị phân như chính hãng VMware để đánh lừa các chương trình bảo mật.

Nếu mã nhị phân ban đầu tương tự như vm.png được chấp nhận thì người dùng sẽ đinh ninh các tập tin tiếp theo cũng đáng tin cậy. Nhờ đó mà hacker sẽ vượt qua được các cổng kiểm tra an ninh.

Chẳng hạn như mã nhị phân vmwarebase.dll khi được kích hoạt sẽ cho phép lan truyền mã prs.png trên explorer.exe hoặc notepad.exe, tạo ra chế độ đăng ký tự động và kiểm tra xem người dùng có tương tác với các tổ chức tài chính của Brazil hay không. Sau đó, người dùng sẽ bị lừa để tiết lộ thông tin quan trọng, chẳng hạn như chi tiết đăng nhập của họ.

Nhóm bảo mật thông báo rằng trojan còn sử dụng nhiều mã nhị phân khác được tích hợp với các công cụ bảo vệ phần mềm Themida nên rất khó phân biệt được đâu là mã thật, đâu là mã giả và khó giải quyết các mối đe dọa nguy hiểm này.

Các nhà quản lý công nghệ thông tin nên thêm trường hợp này vào danh sách nguy cơ phần mềm độc hại cần đối phó và đảm bảo thực hiện các biện pháp bảo mật tốt nhất để bảo vệ người dùng như cẩn thận khi mở các liên kết và tệp đính kèm, không tải tệp từ các trang web lạ và cài đặt phần mềm chống virus đầy đủ.

Theo Tuổi Trẻ