Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon

www.tuoitre.vn -   20/01/2018 02:00:00 3517

Các chuyên gia bảo mật đã phát hiện ra một chiến dịch lây lan mã độc mới bằng cách khai thác ba lỗ hổng bảo mật mới trên Microsoft Office

Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon

Mã độc có tên là Zyklon là một mã độc đa năng đã tái xuất giang hồ sau gần hai năm, mục tiêu tấn công chính là các dịch vụ viễn thông, bảo hiểm và tài chính.

Được kích hoạt từ đầu năm 2016, Zyklon là một mã độc botnet HTTP có thể giao tiếp với cụm máy chủ quản lý và ra lệnh (command and control server) qua mạng ẩn danh hóa Tor và cho phép kẻ tấn công đánh cắp từ xa gồm keylogs, dữ liệu nhạy cảm, như mật khẩu lưu trên trình duyệt web và các ứng dụng email.

Mã độc Zyklon còn có khả năng thực hiện các tiện ích bổ sung bao gồm bí mật sử dụng hệ thống cho các cuộc tấn công DDoS và đào tiền ảo.

Phiên bản khác của Zyklon cũng được tìm thấy trước đó khi đang được rao bán ở một chợ đen khá nổi tiến với giá 75 USD cho bản bình thường và 125 USD cho bản kích hoạt Tor.

Theo báo cáo gần đây của FireEye, kẻ tấn công đằng sau chiến dịch đang lợi dụng 3 lỗ hổng bảo mật đang có trên Microsoft Office nhằm thực thi đoạn mã PowerShell đến các máy tính mục tiêu nhằm tải phiên bản cuối từ cụm máy chủ quản lý. Được biết 3 lỗ hổng này gồm: .NET Framework RCE Vulnerability (CVE-2017-8759), Microsoft Office RCE Vulnerability (CVE-2017-11882), Dynamic Data Exchange Protocol (DDE Exploit).

Qua 3 lỗ hổng này, kẻ tấn công có thể lan truyền mã độc Zyklon bằng cách sử dụng email lừa đảo, dưới hình thức là một tập tin ZIP đính kèm có chứa tập tin Office doc độc hại.

Một khi tập tin độc hại này được mở, nó sẽ nhanh chóng khởi chạy đoạn mã PowerShell khai thác 1 trong các lỗ hổng này để tải phiên bản cuối của mã độc Zyklon HTTP trên máy tính bị lây nhiễm.

Điều thú vị là mã PowerShell này kết nối với một địa chỉ IP không có chấm (ví dụ: http://3627732942) để tải phiên bản cuối.

Cách tốt nhất để bảo vệ bản thân và tổ chức khỏi loại mã độc này chính là luôn luôn cảnh giác cao độ với những văn bản lạ được gửi đến qua email và tuyệt đối không bao giờ được nhấp vào đường link bên trong những văn bản này.

Hãy luôn cập nhật phần mềm và hệ thống với phiên bản mới nhất để hạn chế lỗ hổng bảo mật cũng như các tác nhân khai thác lỗ hổng.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 25
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 27
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 23
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 23
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 24
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 28
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ