Một mã độc nguy hiểm khó lường nhắm vào máy tính Windows đã trở lại

www.tuoitre.vn -   26/03/2021 12:00:00 18

Purple Fox, một chủng phần mềm độc hại trước đây đã từng được phát tán trên toàn thế giới thông qua các bộ công cụ khai thác và email lừa đảo tinh vi, vừa có dấu hiệu xuất hiện trở lại theo cách nguy hiểm và khó lường hơn.

Một mã độc nguy hiểm khó lường nhắm vào máy tính Windows đã trở lại

Trong lần “tái xuất” này, Purple Fox đã được trang bị thêm một mô-đun sâu độc hại (worm) mới, khiến nó có khả năng quét và lây nhiễm cực kỳ linh hoạt trên các hệ thống Windows có thể truy cập qua Internet, đặc biệt là những hệ thống có liên quan đến một cuộc tấn công mạng nào đó đang diễn ra. Điều này khá nguy hiểm bởi đôi khi chính người dùng cũng không biết rằng hệ thống của mình đang trở thành mục tiêu hoặc có liên quan đến một hoạt động độc hại nào đó trên internet.

Purple Fox đi kèm với khả năng rootkit và backdoor. Phần mềm độc hại này được phát hiện lần đầu tiên vào năm 2018, sau khi lây nhiễm ít nhất 30.000 thiết bị và được sử dụng làm trình tải xuống (downloader) để triển khai các dòng phần mềm độc hại khác.

Theo kết quả điều tra của các chuyên gia an ninh mạng quốc tế, mô-đun công cụ khai thác của Purple Fox cũng đã từng nhắm mục tiêu đến các hệ thống Windows trong quá khứ. Mục đích sau cùng là lây nhiễm mã độc trên máy tính Windows thông qua trình duyệt web, sau khi tập trung khai thác các lỗ hổng tồn tại trong bộ nhớ cũng như các lỗ hổng chiếm quyền hệ thống.

Một mã độc nguy hiểm khó lường nhắm vào máy tính Windows đã trở lại

Bắt đầu từ tháng 5 năm 2020, các cuộc tấn công của Purple Fox đã tăng lên đáng kể, lên tới hơn 90.000 vụ việc (được ghi nhận), và số lần lây nhiễm nhiều hơn 600%, theo số liệu thống kê của Guardicore Labs.

Nhắm mục tiêu đến các hệ thống Windows kết nối internet

Các nỗ lực khai thác và quét cổng hoạt động của phần mềm độc hại bắt đầu vào cuối năm ngoái dựa trên phép đo từ xa được thu thập bằng cách cách sử dụng Guardicore Global Sensors Network (GGSN).

Sau khi phát hiện ra một hệ thống Windows dễ bị tấn công và có thể truy cập qua Internet, mô-đun sâu độc mới của Purple Fox sẽ sử dụng tính năng brute force mật khẩu SMB để lây nhiễm mã độc vào hệ thống đó.

Cho đến nay, Purple Fox đã triển khai phần mềm độc hại và các mô-đun bổ sung trên một mạng lưới bot tương đối lớn - một “đội quân” bao gồm gần 2.000 máy chủ bị xâm nhập - theo báo cáo của Guardicore Labs.

Các hệ thống có trong mạng botnet này bao gồm những thiết bị Windows Server chạy IIS phiên bản 7.5 và Microsoft FTP, cũng như các máy chủ chạy Microsoft RPC, Microsoft Server SQL Server 2008 R2 và Microsoft HTTPAPI httpd 2.0 và Microsoft Terminal Service.

Ngoài ra, mô-đun sâu độc mới của Purple Fox cũng đang sử dụng các chiến dịch lừa đảo và lỗ hổng trình duyệt web để triển khai tải trọng độc hại của mình.

Một mã độc nguy hiểm khó lường nhắm vào máy tính Windows đã trở lại

“Trong suốt quá trình nghiên cứu, chúng tôi đã quan sát thấy một cơ sở hạ tầng dường như được tạo ra từ một loạt các máy chủ dễ bị khai thác và tấn công lưu trữ phần mềm độc hại ban đầu. Các máy bị nhiễm đang đóng vai trò là “trạm luân chuyển” mã độc liên tục, và cơ sở hạ tầng máy chủ dường như có liên quan đến các chiến dịch phần mềm độc hại khác”, Serper và Harpaz cho biết.

Trước khi chiếm quyền trên các thiết bị bị nhiễm và duy trì sự ổn định, Purple Fox cũng sẽ cài đặt một mô-đun rootkit sử dụng rootkit mã nguồn mở ẩn để ẩn các tệp, thư mục cũng như registry Windows được tạo trên hệ thống bị nhiễm.

Sau khi triển khai rootkit và khởi động lại thiết bị, phần mềm độc hại sẽ đổi tên tải trọng DLL của nó để phù hợp với DLL hệ thống Windows, và sẽ sự cấu hình để khởi chạy khi khởi động hệ thống.

Khi phần mềm độc hại được thực thi, mỗi hệ thống bị nhiễm sau đó sẽ biểu hiện cùng một hành vi giống như một con sâu độc - liên tục quét Internet để tìm các mục tiêu khác, cố gắng xâm nhập và thêm chúng vào mạng botnet.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Báo cáo Kaspersky tiết lộ những thay đổi...

09/04/2021 10:00:00 169
Khi đại dịch bùng nổ trên toàn cầu năm 2020, công nghệ càng trở nên hữu ích với mọi người. Và khi đó...

Doanh nghiệp vừa và nhỏ trong thời kì đạ...

07/04/2021 10:00:00 90
Đảm bảo an ninh mạng là điều kiện tiên quyết đối với các doanh nghiệp vừa và nhỏ (DNVVN) trong giai ...

Google giới hạn ứng dụng có thể truy cập...

02/04/2021 05:00:00 286
Các ứng dụng trên hệ điều hành Android có thể can thiệp vào danh sách các ứng dụng chi tiết, thậm ch...

Hướng dẫn cách khởi động lại iPhone và v...

31/03/2021 08:00:00 362
Nếu bạn đang gặp vấn đề gì đó với iPhone và muốn tìm cách phục hồi. Bài viết này sẽ hướng dẫn bạn kh...

Ứng dụng điện thoại này giả bản cập nhật...

31/03/2021 12:00:00 192
Những ứng dụng độc hại như thế này đang là một vấn đề ngày càng lớn hơn đối với người tiêu dùng, do ...

Hơn nửa tỷ số điện thoại người dùng Face...

30/03/2021 12:00:00 76
Mới đây hơn nửa tỷ thông tin số điện thoại người dùng Facebook bị rò rỉ và rao bán trên diễn đàn hac...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ