5 loại mã độc hiện đang 'hoành hành' trong nửa đầu tháng 1

13/01/2018 - 10:47

LightsOut, Brickerbot, BlackMine, FakeBank và CoffeeMiner là 5 cái tên nổi cộm mà bất cứ người dùng nào cũng cần dè chừng khi online.

LightsOut

LightOut ẩn trong 22 ứng dụng đèn pin giả mạo trên Google Play - Ảnh: Ethan Miller/Getty Images.

Mã độc quảng cáo này ẩn trong 22 ứng dụng đèn pin giả mạo trên Google Play và liên tục "công phá" người dùng bằng loạt pop-up tràn màn hình đến nỗi không thể tiếp tục sử dụng thiết bị.

Danh sách ứng dụng độc hại gồm có Flashlight Pro, Smart Flashlight, Cool Flashlight, Network Guard, Realtime Cleaner, Call Recorder Pro… và các ứng dụng này đã được tải xuống từ 1,5 đến 7,5 triệu lượt.

Theo Check Point, sau khi được khởi chạy, mã độc sẽ ẩn biểu tượng ứng dụng trên màn hình chính khiến người dùng không thể tìm và gỡ cài đặt, đồng thời liên tục "dội bom" quảng cáo, kể cả người dùng có cắm sạc hoặc khóa màn hình điện thoại thì pop-up vẫn bật liên tục.

Hiện Check Point đã thông báo cho Google về tình trạng này. Đây không phải là lần đầu tiên Google Play bị phát hiện có chứa ứng dụng ẩn mã độc. Trend Micro gần đây đã phát hiện ra 36 ứng dụng Android độc hại giả mạo công cụ bảo mật nhằm thu thập dữ liệu người dùng và theo dõi vị trí của họ.

Brickerbot

Mới đây, NewSky Security đã phát hiện một mã độc, nghi là Brickerbot, đang nhắm tới lỗ hổng zero-day CVE-2017-17215 trong thiết bị router Huawei HG532 trên Pastebin.

Lỗ hổng này được công bố lần đầu tiên bởi Check Point và là nguồn cơn cho hàng loạt cuộc tấn công DDoS đình đám, trong đó có vụ Satori vào năm ngoái, làm tổn hại hàng ngàn thiết bị IoT và hơn 280.000 địa chỉ IP khác nhau bị đánh cắp.

Trong khi đó, mã độc Brickerbot từng bị phát hiện vào tháng 4-2017, dính líu đến loạt tấn công PDoS phá hủy thiết bị IoT, và ở chiến dịch này, các nhà nghiên cứu cho thấy mã độc có rất nhiều điểm tương đồng với các đoạn mã nguồn Brickerbot được phân tích.

Ankit Anubhav, nhà nghiên cứu chính của NewSky Security, cho biết: "Huawei đã phát hành một bản vá bảo mật để bảo vệ các thiết bị chống lại các lỗ hổng khai thác từ xa."

Trước Huawei, router NetGear (hay còn gọi là NbotLoader) cũng bị khai thác lỗ hổng và bị cho là có liên quan đến botnet Qbot.

FakeBank

FakeBank có thể ăn cắp thông tin nhạy cảm từ thiết bị di động bao gồm số điện thoại, danh sách các ứng dụng ngân hàng được cài đặt, số dư trên thẻ ngân hàng và vị trí nạn nhân - Ảnh: iStock.

Mã độc ngân hàng này có thể ăn cắp thông tin nhạy cảm từ thiết bị di động bao gồm số điện thoại, danh sách các ứng dụng ngân hàng được cài đặt, số dư trên thẻ ngân hàng và vị trí nạn nhân.

Theo Trend Micro, FakeBank được phát hiện trong một số ứng dụng quản lý tin nhắn SMS/MMS. Sau khi nhiễm, mã độc sẽ thay thế chương trình quản lý SMS/MMS mặc định trên thiết bị, giám sát, phân tích mọi tin nhắn nhận được, thậm chí chặn và xóa các tin nhắn. Điều này có nghĩa là bất kỳ yêu cầu xác minh hoặc truy vấn nào từ ngân hàng cho người dùng đều có thể bị chặn và gỡ bỏ.

Bên cạnh kiểm soát tin nhắn, nó còn kết nối và gửi thông tin bị đánh cắp đến máy chủ C & C mà người dùng không hề hay biết. Sau đó, hacker sẽ sử dụng dữ liệu bị đánh cắp để đăng nhập vào các tài khoản ngân hàng trực tuyến của nạn nhân, đặt lại mật khẩu và bí mật chuyển tiền vào tài khoản của chúng.

Nó cũng chặn người dùng mở tài khoản ngân hàng trực tuyến khác để chắc chắn không bất kỳ sự thay đổi nào về mối liên kết giữa số thẻ ngân hàng và số điện thoại của nạn nhân.

Nguy hiểm hơn là FakeBank có khả năng ngăn cản người dùng cài đặt các thiết bị "có thể ngăn chặn cài đặt" và rà soát các phần mềm chống virus. Trend Micro giải thích: "Nó thực sự sử dụng ít nhất 3 thủ thuật khác nhau, một kỹ thuật phức tạp dạng đa tầng, nhằm tránh bị phát hiện."

Được biết, FakeBank chủ yếu nhắm tới khách hàng của nhiều tổ chức tài chính ở Nga như Sberbank, Leto Bank và VTB24 Bank. Nó cũng được phát hiện ở Trung Quốc, Ukraina, Romania, Đức và một số các nước nói tiếng Nga khác.

Hầu hết các tên miền C & C của FakeBank đều có địa chỉ IP ở tỉnh Warmia-Masuria ở Ba Lan và Nga, được đăng ký bởi một công ty có tên là Wuxi Yilian mà trước đây đã liên kết với nhiều tên miền lừa đảo khác.

BlackMine

Theo Alien Vault, có một mã độc được kích hoạt từ địa chỉ IP 175.45.178.19, chủ yếu hoạt động trên các trang web giao dịch Bitcoin khoảng 2 tuần qua, đã bí mật khai thác mỏ tiền điện tử và gửi tiền đến Đại học Kim Il Sung ở Bình Nhưỡng (Triều Tiên).

Địa chỉ IP này khá nổi tiếng, từng được dùng để kiểm soát các máy chủ web bị xâm nhập trong một loạt các cuộc tấn công an ninh mạng vào năm 2014-2015 có liên quan đến Triều Tiên, có tên gọi là BlackMine.

"Liệu đây có phải là nỗ lực của Triều Tiên để tìm kiếm các nguồn thu nhập thay thế khi đất nước này vốn bị hạn chế thương mại?" - Các nhà nghiên cứu đặt ra nghi vấn, đặc biệt là khi các trường đại học ở Triều Tiên rất tỏ ra quan tâm đến tiền điện tử khi liên tục mời các chuyên gia nước ngoài đến giảng dạy và thuyết trình về vấn đề này.

Thông qua các trình mật mã dựa trên trình duyệt và mã hóa các trang web phổ biến, mã độc sẽ xâm nhập vào tài khoản nạn nhân khi giao dịch, đào mỏ và gửi dần dần số tiền ăn cắp đi sang ví hacker nên rất khó phát hiện.

Không chỉ nhắm mục tiêu đến Hàn Quốc, mã độc này còn phát tán đến nhiều nơi trên thế giới, cho nên bất cứ người dùng nào cũng nên cẩn thận khi giao dịch tiền điện tử.

Tuy nhiên, các nhà nghiên cứu vẫn chưa xác định được chiến dịch này có liên quan không đến Lazarus, nhóm hacker khét tiếng của Triều Tiên.

CoffeeMiner

Người dùng cần cẩn thận khi truy cập các mạng Wi-Fi công cộng tại các cửa hàng cà phê. - Ảnh: Reuters/Mario Anzuoni.

"Hơn cả một mã độc, CoffeeMiner là một mối đe dọa lớn", nhà phát triển phần mềm Arnau Code đã nói về CoffeeMiner, một cơ chế tấn công cho phép hacker chiếm quyền kiểm soát các mạng Wi-Fi công cộng để đào tiền điện tử.

Đúng như tên gọi, CoffeeMiner nhắm đến các quán cà phê có phát Wi-Fi và tấn công bằng cách chèn Javascript vào các trang HTML mà người dùng truy cập. Sau đó, các thông điệp ARP giả mạo được gửi vào mạng đích và cho phép hacker chặn tất cả lưu lượng truy cập trên mạng công cộng.

Khi đó, chỉ cần một dòng mã được tiêm vào các trang HTML được nhắm mục tiêu, thì tài khoản tiền điện tử của người dùng có nguy cơ bị đào mỏ. Đặc biệt, nó còn có thể tiêm chứng chỉ SSL để đảm bảo việc lây lan có thể thực hiện qua cả HTTPS.

Arnau nói thêm: "Nhược điểm duy nhất của CoffeeMiner là thời gian người dùng truy cập trên một trang. Nếu người dùng ở lại trang web với thời lượng trung bình khoảng 40 giây thì quá trình tấn công có thể chưa kịp diễn ra. Tuy nhiên, người dùng vẫn phải cẩn thận khi truy cập các mạng Wi-Fi công cộng không an toàn, đặc biệt là tại các cửa hàng cà phê."

Gần đây, một cuộc tấn công tương tự đã diễn ra tại cửa hàng Starbucks ở Buenos Aires (Argentina) khi khách hàng truy cập Wi-Fi miễn phí và bị đào tiền điện tử Monero.

Theo CAO CƯỜNG (Tuổi Trẻ)