Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon

www.tuoitre.vn -   20/01/2018 02:00:00 4021

Các chuyên gia bảo mật đã phát hiện ra một chiến dịch lây lan mã độc mới bằng cách khai thác ba lỗ hổng bảo mật mới trên Microsoft Office

Hacker lợi dụng Microsoft Office để lây lan mã độc Zyklon

Mã độc có tên là Zyklon là một mã độc đa năng đã tái xuất giang hồ sau gần hai năm, mục tiêu tấn công chính là các dịch vụ viễn thông, bảo hiểm và tài chính.

Được kích hoạt từ đầu năm 2016, Zyklon là một mã độc botnet HTTP có thể giao tiếp với cụm máy chủ quản lý và ra lệnh (command and control server) qua mạng ẩn danh hóa Tor và cho phép kẻ tấn công đánh cắp từ xa gồm keylogs, dữ liệu nhạy cảm, như mật khẩu lưu trên trình duyệt web và các ứng dụng email.

Mã độc Zyklon còn có khả năng thực hiện các tiện ích bổ sung bao gồm bí mật sử dụng hệ thống cho các cuộc tấn công DDoS và đào tiền ảo.

Phiên bản khác của Zyklon cũng được tìm thấy trước đó khi đang được rao bán ở một chợ đen khá nổi tiến với giá 75 USD cho bản bình thường và 125 USD cho bản kích hoạt Tor.

Theo báo cáo gần đây của FireEye, kẻ tấn công đằng sau chiến dịch đang lợi dụng 3 lỗ hổng bảo mật đang có trên Microsoft Office nhằm thực thi đoạn mã PowerShell đến các máy tính mục tiêu nhằm tải phiên bản cuối từ cụm máy chủ quản lý. Được biết 3 lỗ hổng này gồm: .NET Framework RCE Vulnerability (CVE-2017-8759), Microsoft Office RCE Vulnerability (CVE-2017-11882), Dynamic Data Exchange Protocol (DDE Exploit).

Qua 3 lỗ hổng này, kẻ tấn công có thể lan truyền mã độc Zyklon bằng cách sử dụng email lừa đảo, dưới hình thức là một tập tin ZIP đính kèm có chứa tập tin Office doc độc hại.

Một khi tập tin độc hại này được mở, nó sẽ nhanh chóng khởi chạy đoạn mã PowerShell khai thác 1 trong các lỗ hổng này để tải phiên bản cuối của mã độc Zyklon HTTP trên máy tính bị lây nhiễm.

Điều thú vị là mã PowerShell này kết nối với một địa chỉ IP không có chấm (ví dụ: http://3627732942) để tải phiên bản cuối.

Cách tốt nhất để bảo vệ bản thân và tổ chức khỏi loại mã độc này chính là luôn luôn cảnh giác cao độ với những văn bản lạ được gửi đến qua email và tuyệt đối không bao giờ được nhấp vào đường link bên trong những văn bản này.

Hãy luôn cập nhật phần mềm và hệ thống với phiên bản mới nhất để hạn chế lỗ hổng bảo mật cũng như các tác nhân khai thác lỗ hổng.

Xuân Dung

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 140
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 162
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 140
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 109
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 51
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 53
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button