Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon

www.tuoitre.vn -   20/01/2018 02:00:00 3760

Các chuyên gia bảo mật đã phát hiện ra một chiến dịch lây lan mã độc mới bằng cách khai thác ba lỗ hổng bảo mật mới trên Microsoft Office

Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon

Mã độc có tên là Zyklon là một mã độc đa năng đã tái xuất giang hồ sau gần hai năm, mục tiêu tấn công chính là các dịch vụ viễn thông, bảo hiểm và tài chính.

Được kích hoạt từ đầu năm 2016, Zyklon là một mã độc botnet HTTP có thể giao tiếp với cụm máy chủ quản lý và ra lệnh (command and control server) qua mạng ẩn danh hóa Tor và cho phép kẻ tấn công đánh cắp từ xa gồm keylogs, dữ liệu nhạy cảm, như mật khẩu lưu trên trình duyệt web và các ứng dụng email.

Mã độc Zyklon còn có khả năng thực hiện các tiện ích bổ sung bao gồm bí mật sử dụng hệ thống cho các cuộc tấn công DDoS và đào tiền ảo.

Phiên bản khác của Zyklon cũng được tìm thấy trước đó khi đang được rao bán ở một chợ đen khá nổi tiến với giá 75 USD cho bản bình thường và 125 USD cho bản kích hoạt Tor.

Theo báo cáo gần đây của FireEye, kẻ tấn công đằng sau chiến dịch đang lợi dụng 3 lỗ hổng bảo mật đang có trên Microsoft Office nhằm thực thi đoạn mã PowerShell đến các máy tính mục tiêu nhằm tải phiên bản cuối từ cụm máy chủ quản lý. Được biết 3 lỗ hổng này gồm: .NET Framework RCE Vulnerability (CVE-2017-8759), Microsoft Office RCE Vulnerability (CVE-2017-11882), Dynamic Data Exchange Protocol (DDE Exploit).

Qua 3 lỗ hổng này, kẻ tấn công có thể lan truyền mã độc Zyklon bằng cách sử dụng email lừa đảo, dưới hình thức là một tập tin ZIP đính kèm có chứa tập tin Office doc độc hại.

Một khi tập tin độc hại này được mở, nó sẽ nhanh chóng khởi chạy đoạn mã PowerShell khai thác 1 trong các lỗ hổng này để tải phiên bản cuối của mã độc Zyklon HTTP trên máy tính bị lây nhiễm.

Điều thú vị là mã PowerShell này kết nối với một địa chỉ IP không có chấm (ví dụ: http://3627732942) để tải phiên bản cuối.

Cách tốt nhất để bảo vệ bản thân và tổ chức khỏi loại mã độc này chính là luôn luôn cảnh giác cao độ với những văn bản lạ được gửi đến qua email và tuyệt đối không bao giờ được nhấp vào đường link bên trong những văn bản này.

Hãy luôn cập nhật phần mềm và hệ thống với phiên bản mới nhất để hạn chế lỗ hổng bảo mật cũng như các tác nhân khai thác lỗ hổng.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

Kaspersky dự báo toàn cảnh xu hướng các mối đe dọa nâng cao năm 2024

Kaspersky dự báo toàn cảnh xu hướng các ...

16/11/2023 08:00:00 637
Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã đưa ra những thông tin chi tiết và dự...
Chi tiết
Cách khắc phục thông báo lỗi

Cách khắc phục thông báo lỗi "Giải phóng...

15/11/2023 08:00:00 483
Google Chrome là một trong những trình duyệt web được sử dụng rộng rãi nhất—nhưng điều đó không có n...
Chi tiết
Bạn có thể làm gì để khắc phục lỗ hổng Zero Day của Microsoft Outlook?

Bạn có thể làm gì để khắc phục lỗ hổng Z...

14/11/2023 08:00:00 408
Microsoft Outlook của bạn là cổng email phổ biến với nhiều người, nhưng nếu đó cũng là cửa ngõ dẫn đ...
Chi tiết
Quảng cáo Google độc hại lừa người dùng WinSCP cài đặt phần mềm độc hại

Quảng cáo Google độc hại lừa người dùng ...

13/11/2023 08:00:00 655
Các tác nhân đe dọa đang lợi dụng các kết quả tìm kiếm bị thao túng và các quảng cáo giả mạo của Goo...
Chi tiết
DarkCasino mối đe doạ APT mới nổi đang khai thác lỗ hổng WinRAR

DarkCasino mối đe doạ APT mới nổi đang k...

10/11/2023 08:00:00 582
Một nhóm hack lợi dụng lỗ hổng bảo mật được tiết lộ gần đây trong phần mềm WinRAR dưới dạng zero-day...
Chi tiết
Tin tặc có thể khai thác Google Workspace và Cloud Platform để tấn công với mã độc tống tiền ransomware

Tin tặc có thể khai thác Google Workspac...

09/11/2023 08:00:00 559
Một tập hợp các phương thức tấn công mới đã được chứng minh chống lại Google Workspace và Google Clo...
Chi tiết
Xem thêm
XEM NHIỀU NHẤT
Xem thêm
TIN MỚI NHẤT
Xem thêm

TAGS

Microsoft Office, Zyklon, mã độc

LIÊN HỆ

Thông tin liên hệ