Mã độc tống tiền mới trên máy tính biến thể nhắm vào người dùng điện thoại

www.tuoitre.vn -   13/10/2020 12:00:00 1088

Microsoft gần đây đã cảnh báo về một loại ransomware mới lợi dụng các thông báo cuộc gọi đến và nút Home của điện thoại Android để khóa thiết bị sau một ghi chú đòi tiền chuộc.

Mã độc tống tiền này được đặt tên “MalLocker.B” và là biến thể của một chủng ransomware Android nổi tiếng. Nó hiện đã tái xuất với nhiều cải tiến mới, bao gồm một kỹ thuật giúp cấy mã độc tống tiền trên các thiết bị cũng như một cơ chế obfuscation (xáo trộn code) để qua mắt các giải pháp bảo mật.

Mã độc tống tiền mới trên máy tính biến thể nhắm vào người dùng điện thoại

Mã độc này bị phát hiện ngay giữa bối cảnh các cuộc tấn công ransomware nhắm vào các cơ sở hạ tầng quan trọng đang gia tăng mạnh mẽ, với mức tăng trung bình hàng ngày là 50% trong ba tháng qua so với nửa đầu năm nay. Ngoài ra, các tội phạm mạng ngày càng ưa chuộng kỹ thuật double extortion (tống tiền kép) nhằm gây thêm áp lực cho các doanh nghiệp.

MalLocker nổi tiếng với việc trú ẩn trên các trang web độc hại và thực hiện lây nhiễm trên diễn đàn trực tuyến bằng cách sử dụng nhiều chiêu trò tấn công phi kỹ thuật khác nhau như ngụy trang dưới dạng các ứng dụng phổ biến, trò chơi bị bẻ khóa, hay trình phát video.

Các biến thể trước của ransomware này đã khai thác các tính năng trợ năng của Android hoặc quyền “SYSTEM_ALERT_WINDOW” để hiển thị một cửa sổ trên tất cả các màn hình khác và hiển thị thông báo đòi tiền chuộc. Nó thường là thông báo giả mạo của cảnh sát hoặc cảnh báo về việc phát hiện các hình ảnh khiêu dâm trên thiết bị.

Nhưng ngay khi các phần mềm diệt mã độc bắt đầu phát hiện hành vi đáng ngờ thì các biến thể rasomware trên sẽ ngay lập tức thay đổi chiến thuật để vượt qua rào cản này. Điều khác biệt ở biến thể MalLocker.B là nó đã áp dụng một kỹ thuật hoàn toàn mới nhưng vẫn đạt được mục tiêu tấn công của mình.android ransomware code

Mã độc tống tiền mới trên máy tính biến thể nhắm vào người dùng điện thoại

MalLocker.B đã lợi dụng thông báo “call” được sử dụng để báo cho người dùng biết về các cuộc gọi đến và hiển thị một cửa sổ bao phủ toàn bộ màn hình, sau đó nó kết hợp với phím Home hoặc Recents để kích hoạt ghi chú đòi tiền chuộc lên nền trước và ngăn nạn nhân chuyển sang bất kỳ màn hình nào khác.

“Điều này tạo ra một chuỗi các sự kiện dẫn tới tự động kích hoạt màn hình ransomware mà không cần phải infinite redraw (hiển thị lại) hay ngụy trang dưới dạng cửa sổ hệ thống,” Microsoft cho biết.

Bên cạnh việc từng bước kết hợp các kỹ thuật để hiển thị màn hình ransomware, mã độc còn phát triển một mô hình học máy (machine learning) chưa được tích hợp. Mô hình này có thể được sử dụng để điều chỉnh hình ảnh ghi chú tiền chuộc trên màn hình mà không bị biến dạng, cho thấy mã độc này đã phát triển lên một giai đoạn mới.

Hơn nữa để che giấu mục đích thực sự của mình, phần code của ransomware này đã bị xáo trộn nặng nề và không thể đọc được. Kẻ tấn công đã xáo trộn tên và cố ý sử dụng các tên biến vô nghĩa cùng mã rác để cản trở phân tích.

“Biến thể mobile ransomware mới này là một phát hiện quan trọng vì nó sử dụng các phương pháp tấn công chưa từng được biết đến trước đây, và nhiều khả năng nó sẽ mở ra “cánh cửa mới” cho các mã độc khác theo sau,” các chuyên gia bảo mật cho biết.

“Mã độc này đã nhấn mạnh sự cần thiết của việc phòng thủ toàn diện, kết hợp giữa giám sát tổng thể để phát hiện kịp thời các bề mặt tấn công, cũng như hợp tác với các chuyên gia (domain expert) để giúp theo dõi bối cảnh mối đe dọa và phát hiện các mối đe dọa nguy hiểm đang ẩn náu giữa các kho dữ liệu lớn.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 100
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 93
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 83
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 49
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 40
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 40
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button