Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

www.tuoitre.vn -   21/07/2021 08:00:00 259

Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã lật tẩy một chủng phần mềm độc hại có tên là "MosaicLoader", loại bỏ các cá nhân đang tìm kiếm phần mềm bị bẻ khóa như một phần của chiến dịch toàn cầu.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Các nhà nghiên cứu bảo mật cho biết trong một báo cáo được chia sẻ với The Hacker News: “Những kẻ tấn công đằng sau MosaicLoader đã tạo ra một phần mềm độc hại có thể cung cấp bất kỳ tải trọng nào trên hệ thống, khiến nó có khả năng sinh lời như một dịch vụ giao hàng”. "Phần mềm độc hại đến các hệ thống mục tiêu bằng cách đóng giả là trình cài đặt bị bẻ khóa. Nó tải xuống một trình phun phần mềm độc hại lấy danh sách URL từ máy chủ C2 và tải xuống các tải trọng từ các liên kết đã nhận."

Phần mềm độc hại được đặt tên như vậy vì cấu trúc bên trong phức tạp của nó được sắp xếp để ngăn chặn kỹ thuật đảo ngược và trốn tránh phân tích.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật được thiết lập tốt để phân phối phần mềm độc hại được gọi là đầu độc tối ưu hóa công cụ tìm kiếm (SEO), trong đó tội phạm mạng mua các vị trí quảng cáo trong kết quả của công cụ tìm kiếm để tăng các liên kết độc hại của chúng làm kết quả hàng đầu khi người dùng tìm kiếm các cụm từ liên quan đến phần mềm vi phạm bản quyền.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Sau khi lây nhiễm thành công, ống nhỏ giọt dựa trên Delphi ban đầu - giả mạo như một trình cài đặt phần mềm - hoạt động như một điểm vào để tìm nạp tải trọng ở giai đoạn tiếp theo từ máy chủ từ xa và cũng thêm các loại trừ cục bộ trong Windows Defender cho hai tệp thực thi đã tải xuống trong một nỗ lực để ngăn chặn quá trình quét chống vi-rút.

Cần chỉ ra rằng các loại trừ Windows Defender như vậy có thể được tìm thấy trong các khóa đăng ký được liệt kê bên dưới:

Loại trừ tệp và thư mục - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Paths

Loại trừ loại tệp - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Extensions

Loại trừ quy trình - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exclusions \ Processes

Một trong các tệp nhị phân, "appsetup.exe", được hình thành để đạt được sự bền bỉ trên hệ thống, trong khi tệp thực thi thứ hai, "prun.exe", có chức năng như một trình tải xuống cho mô-đun máy phun có thể truy xuất và triển khai nhiều mối đe dọa từ một danh sách các URL, từ những kẻ đánh cắp cookie đến những người khai thác tiền điện tử và thậm chí những thiết bị cấy ghép nâng cao hơn như Glupteba.

"prun.exe" cũng đáng chú ý với hàng loạt các kỹ thuật làm xáo trộn và chống đảo ngược liên quan đến việc tách các đoạn mã bằng các byte điền ngẫu nhiên, với quy trình thực thi được thiết kế để "nhảy qua các phần này và chỉ thực thi các đoạn nhỏ, có ý nghĩa."

Với khả năng trên phạm vi rộng của MosaicLoader, các hệ thống bị xâm nhập có thể được đồng chọn trở thành một mạng botnet mà tác nhân đe dọa sau đó có thể khai thác để phát tán nhiều bộ phần mềm độc hại phức tạp và đang phát triển, bao gồm cả phần mềm độc hại có sẵn công khai và phần mềm độc hại tùy chỉnh, để lấy, mở rộng và duy trì trái phép truy cập vào máy tính và mạng của nạn nhân.

Phần mềm độc hại mới này tự ẩn mình trong số các loại trừ của Bộ bảo vệ Windows để tránh phát hiện

Các nhà nghiên cứu cho biết: “Cách tốt nhất để chống lại MosaicLoader là tránh tải xuống phần mềm đã bẻ khóa từ bất kỳ nguồn nào. "Bên cạnh việc vi phạm pháp luật, tội phạm mạng còn tìm cách nhắm mục tiêu và khai thác những người dùng tìm kiếm phần mềm bất hợp pháp", thêm vào đó điều cần thiết là "kiểm tra miền nguồn của mọi bản tải xuống để đảm bảo rằng các tệp là hợp pháp."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Bản vá lỗi lại gây lỗi nghiêm trọng trên...

16/09/2021 12:00:00 49
Với lỗi này, người dùng sẽ không thể chơi game ở chế độ toàn màn hình được bởi khi đó họ sẽ phải chơ...

Chuyên gia: Nâng cao năng lực an toàn, a...

15/09/2021 02:00:00 135
Diễn đàn Chính sách Trực tuyến lần thứ 3 do công ty Kaspersky tổ chức tập trung thảo luận về nguồn l...

5 cách giữ tài chính an toàn hơn trên mô...

15/09/2021 02:00:00 149
Công ty an ninh mạng toàn cầu Kaspersky vừa công bố báo cáo Quý II/ 2021 về mối đe dọa trên nền tảng...

Cập nhật ngay Google Chrome để vá lỗi 2 ...

14/09/2021 08:00:00 77
Hôm thứ Hai, Google đã phát hành bản cập nhật bảo mật cho trình duyệt web Chrome để giải quyết tổng ...

SOVA – Trojan Ngân Hàng trên Android mới...

13/09/2021 08:00:00 75
Sự kết hợp của các ứng dụng ngân hàng, ví tiền điện tử và ứng dụng mua sắm từ Hoa Kỳ và Tây Ban Nha ...

Kaspersky ngăn chặn hơn 2.000 mã độc di ...

09/09/2021 02:00:00 288
Khi đại dịch tiếp tục lan rộng ở các quốc gia Đông Nam Á, nhiều người lao động dự kiến sẽ phải thiết...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ