Microsoft cảnh báo mã độc Dexphot đã lây nhiễm gần 80.000 máy tính

Tạ Lê Trúc Quỳnh09:27 09/12/2019

Vào cuối tháng 11/2019, Microsoft đã công bố chi tiết về mã độc Dexphot hiện đã lây nhiễm các máy tính Windows kể từ tháng 10/2018 và đỉnh điểm với số lượng máy tính ảnh hưởng là hơn 80.000 thiết bị vào tháng 6/2019.

Microsoft cho biết mã độc Dexphot là một phần mềm độc hại phức tạp, đây là là công cụ để tin tặc khai thác tiền điện tử và tạo doanh thu cho những kẻ tấn công. Về cơ bản, mã độc Dexphot không đánh cắp dữ liệu từ người dùng.

Cũng theo nhóm chuyên gia bảo mật tại Microsoft chia sẻ về phương thức tấn công Dexphot, bắt đầu từ việc làm tổn hại nội dung của hai quy trình hợp pháp của Windows – svchost.exe và nslookup.exe. Sau đó, mã độc Dexphot sẽ sử dụng các nhiệm vụ để khiến hệ thống của nạn nhân bị nhiễm bệnh cứ sau 90 phút. Hơn nữa, Dexphot còn sử dụng hiệu quả tính đa hình (Polymorphism), điều này làm cho tất cả các hệ thống rất phức tạp.

Trong số tất cả các nhiệm vụ, Dexphot nổi bật với tính ngụy trang đa hình hóa, có khả năng thay đổi dấu chân (footprint) và tên tệp trên máy tính cứ sau 20-30 phút. Do đó, mã độc Dexphot làm cho máy tính Windows dễ bị tổn thương hơn về các khía cạnh không gian mạng.

Video đang HOT

Microsoft cho biết, Dexphot được trang bị 5 tập tin: 2 trình cài đặt URL và 3 tập tin được mã hóa. Vì tất cả các quy trình đều hợp pháp, ngoại trừ quá trình cài đặt, nên việc khôi phục rất khó khăn. Hơn nữa, Dexphot được sử dụng để đối phó với các máy tính đã bị nhiễm phần mềm độc hại khác trước đó – làm vấn đề trở nên phức tạp hơn.

Theo dự đoán, Dexphot sẽ có thể gây hại cho một số quy trình quan trọng khác như svchost.exe, tracert.exe và setup.exe. Hơn nữa, mã độc Dexphot cũng sẽ sử dụng kỹ thuật “living off the land” (lược dịch: sống ngoài vùng đất) để lạm dụng các quy trình hợp pháp của Windows và thực thi mã độc, thay vì chạy các quy trình của chính nó. Theo Microsoft, Dexphot có thể sử dụng unzip.exe, powersrc.exe, v.v. cho mục đích của nó.

Mặc dù Dexphot có các cơ chế hoạt động bền bỉ mạnh mẽ nhưng nhờ vào những nỗ lực và chính sách liên quan của Microsoft, số vụ tấn công bởi phần mềm độc hại này đã liên tục giảm kể từ khi đạt đỉnh vào tháng 6.

Theo FPT Shop

80.000 máy tính Windows nhiễm mã độc đào tiền ảo

Mã độc Dexphot, bắt đầu lây lan trên các máy tính Windows từ tháng 10/2018, âm thầm khai thác tiền điện tử và gửi về cho kẻ tấn công.

Theo các kỹ sư bảo mật của Microsoft, Dexphot là chủng phần mềm độc hại mới, đạt đỉnh điểm tấn công từ giữa tháng 6 với gần 80.000 máy bị ảnh hưởng.

Dexphot đạt đỉnh điểm lây nhiễm vào tháng 6/2019. Ảnh: Microsoft.

Sau khi xâm nhập thành công vào máy tính, Dexphot sử dụng một kỹ thuật gọi là "thực thi không tên" (fileless execution) để hoạt động ngầm trên máy tính và không bị các phần mềm diệt virus phát hiện.

Dexphot còn sử dụng một kỹ thuật khác gọi là "sống ngoài luồng" (LOLbins) để thực thi mã độc thông qua việc lợi dụng các tiến trình Windows một cách hợp pháp. Microsoft cho biết, Dexphot thường lạm dụng msiexec.exe, unzip.exe, rundll32.exe, scht task.exe và powershell.exe để chạy thay vì tự kích hoạt chính nó, khiến hệ thống không thể phân biệt mã độc này với các ứng dụng nội bộ khác sử dụng tiện ích của hệ điều hành Windows.

Những năm gần đây, các phần mềm diệt virus có thêm tính năng cập nhật chủng mã độc mới dựa trên đám mây theo thời gian thực, trong đó liệt các mã độc dùng LOLbins vào danh mục quản lý nghiêm ngặt. Tuy nhiên, Dexphot lại sử dụng một kỹ thuật khác "cao tay" hơn là Đa hình (polymorphism), tức liên tục thay đổi các thành phần của nó. Theo Microsoft, mã độc này cứ 20-30 phút lại đổi tệp và liên kết (URL). Có nghĩa, khi phần mềm diệt virus vừa cập nhật liên kết nhiễm độc cũ, Dexphot đã có cách lây nhiễm mới, luôn đi trước các ứng dụng bảo mật.

Hazel Kim, nhà phân tích phần mềm độc hại của nhóm nghiên cứu bảo mật ATP (thuộc Microsoft Defender), đánh giá Dexphot là botnet phức tạp nhưng lại làm nhiệm vụ "tầm thường" là khai thác tiền điện tử thay vì đánh cắp dữ liệu quan trọng của người dùng. "Dexphot không dùng kiểu tấn công tạo ra sự chú ý như mã độc chính thống. Nó chỉ làm nhiệm vụ tương tự mã độc bình thường khác phổ biến trong giới tội phạm mạng, đó là âm thầm cài đặt lên máy tính mục tiêu và tận dụng để tạo doanh thu cho kẻ tấn công", Kim giải thích.

Tuy nhiên, ông cũng lưu ý Dexphot là "sự minh họa cho mức độ phức tạp và tốc độ tiến hóa của các mối đe dọa trực tuyến hàng ngày, các biện pháp trốn tránh của hacker ở tầm cao mới thúc đẩy bởi lợi nhuận". Microsoft tuyên bố đã triển khai các biện pháp đối phó để cải thiện việc phát hiện và ngăn chặn các cuộc tấn công gây ra bởi Dexphot.

Theo vnexpress

Rút "nóng" có làm hỏng USB không, đây là câu trả lời cho bạn. Chắc hẳn bạn từng nghe người khác bảo rằng là không nên rút USB khi chưa chọn Eject sẽ làm USB bị hư đúng không nào. Vậy tại sao phải Eject trước khi rút USB và hiện nay có cần phải làm như thế nữa không, cùng mình tìm hiểu qua bài viết này nhé. Trước đây, khi bạn cắm USB vào máy...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Bất bình khi xem clip ghi cảnh cụ bà bị 2 phụ nữ đánh, người vào can còn bị ngăn lại00:38

Thực hư tin Campuchia điều binh sĩ tới biên giới với Thái Lan sau vụ đối đầu08:43

Ngô Thanh Vân lộ video vòng 2 lùm lùm trong tiệc sinh nhật, có động thái che chắn nhưng không đáng kể!01:15

Tiktoker qua Singapore thăm mẹ con bé Bắp, khẳng định 1 điều khi thấy "bánh tráng nhúng nước cuốn cải ăn qua ngày"01:04

Đôi Vbiz "phim giả tình thật" đang sống chung nhà, bí mật bại lộ bởi 1 tíc tắc diễn ra trên sóng livestream00:46

Xung đột Nga - Ukraine trước bước ngoặt08:59

Tiếng khóc nghẹn của nữ sinh tố cáo chủ trọ hành hung vì tiền đặt cọc ở Hà Nội00:27

Video: Va chạm giao thông, 2 người phụ nữ xô xát với người đàn ông lớn tuổi00:20

Ca sĩ Mỹ Tâm ăn tối sang chảnh ở Mỹ, Lý Nhã Kỳ gợi cảm00:52

Bảo Quốc cùng vợ đến ủng hộ Ngọc Huyền, tiết lộ niềm vui ở tuổi 7607:49

Kinh hoàng trâu "điên" rượt đuổi, húc văng hai học sinh đang trên đường đi học ở Quảng Ninh00:23

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn