Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

www.tuoitre.vn -   21/07/2021 08:00:00 103

Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã lật tẩy một chủng phần mềm độc hại có tên là "MosaicLoader", loại bỏ các cá nhân đang tìm kiếm phần mềm bị bẻ khóa như một phần của chiến dịch toàn cầu.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Các nhà nghiên cứu bảo mật cho biết trong một báo cáo được chia sẻ với The Hacker News: “Những kẻ tấn công đằng sau MosaicLoader đã tạo ra một phần mềm độc hại có thể cung cấp bất kỳ tải trọng nào trên hệ thống, khiến nó có khả năng sinh lời như một dịch vụ giao hàng”. "Phần mềm độc hại đến các hệ thống mục tiêu bằng cách đóng giả là trình cài đặt bị bẻ khóa. Nó tải xuống một trình phun phần mềm độc hại lấy danh sách URL từ máy chủ C2 và tải xuống các tải trọng từ các liên kết đã nhận."

Phần mềm độc hại được đặt tên như vậy vì cấu trúc bên trong phức tạp của nó được sắp xếp để ngăn chặn kỹ thuật đảo ngược và trốn tránh phân tích.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật được thiết lập tốt để phân phối phần mềm độc hại được gọi là đầu độc tối ưu hóa công cụ tìm kiếm (SEO), trong đó tội phạm mạng mua các vị trí quảng cáo trong kết quả của công cụ tìm kiếm để tăng các liên kết độc hại của chúng làm kết quả hàng đầu khi người dùng tìm kiếm các cụm từ liên quan đến phần mềm vi phạm bản quyền.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Sau khi lây nhiễm thành công, ống nhỏ giọt dựa trên Delphi ban đầu - giả mạo như một trình cài đặt phần mềm - hoạt động như một điểm vào để tìm nạp tải trọng ở giai đoạn tiếp theo từ máy chủ từ xa và cũng thêm các loại trừ cục bộ trong Windows Defender cho hai tệp thực thi đã tải xuống trong một nỗ lực để ngăn chặn quá trình quét chống vi-rút.

Cần chỉ ra rằng các loại trừ Windows Defender như vậy có thể được tìm thấy trong các khóa đăng ký được liệt kê bên dưới:

Loại trừ tệp và thư mục - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Paths

Loại trừ loại tệp - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Extensions

Loại trừ quy trình - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Processes

Một trong các tệp nhị phân, "appsetup.exe", được hình thành để đạt được sự bền bỉ trên hệ thống, trong khi tệp thực thi thứ hai, "prun.exe", có chức năng như một trình tải xuống cho mô-đun máy phun có thể truy xuất và triển khai nhiều mối đe dọa từ một danh sách các URL, từ những kẻ đánh cắp cookie đến những người khai thác tiền điện tử và thậm chí những thiết bị cấy ghép nâng cao hơn như Glupteba.

"prun.exe" cũng đáng chú ý với hàng loạt các kỹ thuật làm xáo trộn và chống đảo ngược liên quan đến việc tách các đoạn mã bằng các byte điền ngẫu nhiên, với quy trình thực thi được thiết kế để "nhảy qua các phần này và chỉ thực thi các đoạn nhỏ, có ý nghĩa."

Với khả năng trên phạm vi rộng của MosaicLoader, các hệ thống bị xâm nhập có thể được đồng chọn trở thành một mạng botnet mà tác nhân đe dọa sau đó có thể khai thác để phát tán nhiều bộ phần mềm độc hại phức tạp và đang phát triển, bao gồm cả phần mềm độc hại có sẵn công khai và phần mềm độc hại tùy chỉnh, để lấy, mở rộng và duy trì trái phép truy cập vào máy tính và mạng của nạn nhân.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Các nhà nghiên cứu cho biết: “Cách tốt nhất để chống lại MosaicLoader là tránh tải xuống phần mềm đã bẻ khóa từ bất kỳ nguồn nào. "Bên cạnh việc vi phạm pháp luật, tội phạm mạng còn tìm cách nhắm mục tiêu và khai thác những người dùng tìm kiếm phần mềm bất hợp pháp", thêm vào đó điều cần thiết là "kiểm tra miền nguồn của mọi bản tải xuống để đảm bảo rằng các tệp là hợp pháp."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Apple phát hành bản vá khẩn cấp cho lỗ h...

27/07/2021 02:00:00 25
Hôm thứ Hai, Apple đã tung ra một bản cập nhật bảo mật khẩn cấp cho iOS, iPadOS và macOS để giải quy...

Kaspersky: Ngành tài chính cần cải thiện...

26/07/2021 11:30:00 119
Khi số lượng các cuộc giao dịch tài chính trực tuyến đã và đang gia tăng trong suốt thời gian đại dị...

Lỗi bảo mật 16 tuổi ảnh hưởng đến hàng t...

22/07/2021 08:00:00 70
Đã xuất hiện chi tiết về một lỗ hổng bảo mật nghiêm trọng cao ảnh hưởng đến trình điều khiển phần mề...

Phần mềm độc hại mới này tự ẩn mình tron...

21/07/2021 08:00:00 104
Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã lật tẩy một chủng phần mềm độc hại có tên là "MosaicLo...

Instagram ra mắt 'Kiểm tra bảo mật' để g...

19/07/2021 08:00:00 46
Đầu tuần này, Instagram đã giới thiệu một tính năng "Kiểm tra bảo mật" mới nhằm mục đích giữ an toàn...

Google đưa tin về lỗ hổng bảo mật Zero-D...

16/07/2021 08:00:00 256
Các nhà nghiên cứu tình báo về mối đe dọa từ Google hôm thứ Tư đã làm sáng tỏ hơn về 4 lỗ hổng Zero-...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ