Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon
Các chuyên gia bảo mật đã phát hiện ra một chiến dịch lây lan mã độc mới bằng cách khai thác ba lỗ hổng bảo mật mới trên Microsoft Office
Mã độc có tên là Zyklon là một mã độc đa năng đã tái xuất giang hồ sau gần hai năm, mục tiêu tấn công chính là các dịch vụ viễn thông, bảo hiểm và tài chính.
Được kích hoạt từ đầu năm 2016, Zyklon là một mã độc botnet HTTP có thể giao tiếp với cụm máy chủ quản lý và ra lệnh (command and control server) qua mạng ẩn danh hóa Tor và cho phép kẻ tấn công đánh cắp từ xa gồm keylogs, dữ liệu nhạy cảm, như mật khẩu lưu trên trình duyệt web và các ứng dụng email.
Mã độc Zyklon còn có khả năng thực hiện các tiện ích bổ sung bao gồm bí mật sử dụng hệ thống cho các cuộc tấn công DDoS và đào tiền ảo.
Phiên bản khác của Zyklon cũng được tìm thấy trước đó khi đang được rao bán ở một chợ đen khá nổi tiến với giá 75 USD cho bản bình thường và 125 USD cho bản kích hoạt Tor.
Theo báo cáo gần đây của FireEye, kẻ tấn công đằng sau chiến dịch đang lợi dụng 3 lỗ hổng bảo mật đang có trên Microsoft Office nhằm thực thi đoạn mã PowerShell đến các máy tính mục tiêu nhằm tải phiên bản cuối từ cụm máy chủ quản lý. Được biết 3 lỗ hổng này gồm: .NET Framework RCE Vulnerability (CVE-2017-8759), Microsoft Office RCE Vulnerability (CVE-2017-11882), Dynamic Data Exchange Protocol (DDE Exploit).
Qua 3 lỗ hổng này, kẻ tấn công có thể lan truyền mã độc Zyklon bằng cách sử dụng email lừa đảo, dưới hình thức là một tập tin ZIP đính kèm có chứa tập tin Office doc độc hại.
Một khi tập tin độc hại này được mở, nó sẽ nhanh chóng khởi chạy đoạn mã PowerShell khai thác 1 trong các lỗ hổng này để tải phiên bản cuối của mã độc Zyklon HTTP trên máy tính bị lây nhiễm.
Điều thú vị là mã PowerShell này kết nối với một địa chỉ IP không có chấm (ví dụ: http://3627732942) để tải phiên bản cuối.
Cách tốt nhất để bảo vệ bản thân và tổ chức khỏi loại mã độc này chính là luôn luôn cảnh giác cao độ với những văn bản lạ được gửi đến qua email và tuyệt đối không bao giờ được nhấp vào đường link bên trong những văn bản này.
Hãy luôn cập nhật phần mềm và hệ thống với phiên bản mới nhất để hạn chế lỗ hổng bảo mật cũng như các tác nhân khai thác lỗ hổng.
Xuân Dung
TIN CÙNG CHUYÊN MỤC
1 tiện ích Chrome nhiễm mã độc có 280 tr...
Không đảm bảo về bảo mật và kiểm duyệt, ...
Ứng dụng AI - DeepSeek bị hack và rò rỉ ...
Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...
Tính năng tìm kiếm mới trên Windows 11 g...
Lừa đảo quảng cáo độc hại sử dụng Quảng ...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Thông báo thời gian nghỉ lễ Tết Nguyên Đán Ất Tỵ 2...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Hướng dẫn cách dùng DeepSeek dễ dàng với 3 bước
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
Router Wi-Fi hiệu TP-Link có thể bị Mỹ cấm cửa vì ...
TAGS
LIÊN HỆ
