Phát hiện loại mã độc tống tiề.n mới nhắm vào người dùng Mac
Các chuyên gia an ninh mạng mới đây đã phát hiện một loại mã độc tống tiề.n mới trên hệ điều hành Mac OS. Mã độc này có khả năng chiếm quyền điều khiển máy tính nạ.n nhâ.n, mã hóa các tệp tin quan trọng để đòi tiề.n chuộc.
Trong thông tin cảnh báo về loại mã độc tống tiề.n mới trên hệ điều hành Mac OS vừa phát ra, Công ty cổ phần An ninh mạng Việt Nam ( VSEC) cho biết, hiện nay loại mã độc này đang được lan truyền phổ biến trên các torrent Internet tại Nga, với tên gọi là OSX. ThiefQuest.
Mặc dù chưa có con số thống kê về ảnh hưởng với người dùng Việt Nam, tuy nhiên các chuyên gia vẫn khuyến nghị người dùng máy Mac trong nước cần cảnh giác trước nguy cơ bị tấ.n côn.g bởi lợi mã độc tống tiề.n mới này.
Link bộ cài chứa mã độc được đăng trên RUTracker – một mạng lưới chia sẻ torrent của Nga
Theo phân tích của các chuyên gia, để lừa người dùng tải về máy tính, tin tặc sẽ đóng gói mã độc OSX.ThiefQuest trong một phần mềm mạo danh tên là Little Snitch – phần mềm có chức năng chính là theo dõi và quản lý các kết nối ra ngoài Internet, được sử dụng rộng rãi trên các thiết bị sử dụng Mac OS trên thế giới.
Video đang HOT
Sau khi đã lừa nạ.n nhâ.n tải về máy và cài đặt phần mềm, mã độc này sẽ tạo trên hệ thống những tập tin như một bộ cài thông thường. Tinh vi hơn, trình cài đặt này còn chứa một tập lệnh được thực thi sau khi quá trình cài đặt hoàn tất để thực hiện đổi tên và xóa dấu vết nhằm lừa người dùng.
Khi quá trình lây nhiễm được kích hoạt bởi trình cài đặt, phần mềm độc hại bắt đầu tự phát tán một cách tự do xung quanh ổ cứng, máy tính của nạ.n nhâ.n sẽ bị mã các hóa dữ liệu quan trọng trong 3 ngày sau đó.
Cẩn thận hơn, loại mã độc này còn cài đặt các file thực thi tại những vị trí dễ khiến người dùng vô tình kích hoạt như trong những tập tin khởi động của hệ thống hay các tác nhân trình nền (daemon plist files), hành động này nhằm tạo phương án dự phòng trong trường hợp chương trình tấ.n côn.g đã kích hoạt trước đấy bị lỗi.
Sau khi quá trình mã hóa hoàn tất, một tệp tin tống tiề.n được tạo ra để hướng dẫn người dùng cách chuộc lại những dữ liệu đã bị mã hóa trong máy.
Hình ảnh tệp tin tống tiề.n của tin tặc
Thậm chí, các nhà nghiên cứu cũng chỉ ra rằng phần mềm độc hại này có khả năng mở một “reverse shell” cho máy chủ chỉ huy và điều khiển để thực hiện các hành động thực thi mã lệnh từ xa nhằm chiếm quyền điều khiển máy tính nạ.n nhâ.n.
Ngoài ra, mã độc OSX.ThiefQuest đã được trang bị những kĩ thuật chống khả năng bị phân tích. Trong trường hợp người dùng sử dụng các trình phân tích mã độc hay trình gỡ lỗi cho máy tính, mã độc này thường sẽ không hiển thị đầy đủ các khả năng của nó.
Tổng giám đốc Công ty VSEC cho biết: “Trên thực tế, bộ cài đặt nguyên bản của Little Snitch được đóng gói một cách chuyên nghiệp và dễ nhận biết, với khả năng tùy chỉnh cài đặt và có mã kí của nhà phát hành. Còn bộ cài đặt có mã độc chỉ là gói cài đặt đơn giản, có biểu tượng chung của Apple. Tuy nhiên người dùng khá chủ quan khi tải về và cài đặt các phần mềm dịch vụ về máy kể cả từ các nguồn không uy tín”.
Các chuyên gia khuyến cáo, để tránh bị lây nhiễm virus từ những phần mềm tải về trên máy tính, người dùng cần xác định rõ nguồn gốc và chỉ tải về từ các trang uy tín
Các chuyên gia khuyến cáo, để tránh bị lây nhiễm virus từ những phần mềm tải về trên máy tính, người dùng cần xác định rõ nguồn gốc và chỉ tải về từ các trang uy tín, luôn đọc kỹ các điều khoản và quy định của các ứng dụng, phần mềm trước khi tải về. Đồng thời, định kỳ kiểm tra máy tính bằng các phần mềm quét virus để xử lý kịp thời với các sự cố đang tồn tại.
Cũng theo khuyến nghị của các chuyên gia, với mỗi dữ liệu quan trọng, người dùng máy tính nên có ít nhất 2 bản sao lưu, trong đó có một bản luôn nằm trong một bộ nhớ ngoài, không được kết nối trực tiếp với máy tính của mình mọi lúc. Trong trường hợp tệ nhất, người dùng chỉ cần xóa ổ cứng và khôi phục dữ liệu từ bản sao lưu. Ngoài ra, những bản sao lưu đó cũng bảo vệ người dùng trước những thứ như lỗi ổ đĩa, trộm cắp, hư hỏng thiết bị…
Loạt nước lớn tung cảnh báo về mã độc tống tiề.n mới
Ấn Độ, Iran và Mỹ đã đưa ra những báo cáo về tình trạng nhiễm mã độc tống tiề.n PonyFinal.
Đội bảo mật của Microsoft đã cảnh báo các tổ chức trên toàn cầu cần triển khai các biện pháp bảo vệ chống lại một loại mã độc tống tiề.n mới đã tồn tại hơn hai tháng qua.
PonyFinal là một mã độc tống tiề.n được viết bằng ngôn ngữ Java. Tin tặc sử dụng PonyFinal để tấ.n côn.g các hệ thống máy chủ của công ty. Khi xâm nhập hệ thống, PonyFinal sẽ tự triển khai - điều này khác với các cuộc tấ.n côn.g của các mã độc tống tiề.n trước đây được lan truyền bằng cách phát tán qua thư rác để lừa người dùng tự tải về.
Microsoft cho biết, công ty đã điều tra những sự cố liên quan đến mã độc tống tiề.n. Điểm xâm nhập của nó thường là một tài khoản trong hệ thống máy chủ của công ty. PonyFinal đã tấ.n côn.g mạnh vào các tài khoản có mật khẩu yếu. Khi xâm nhập được vào trong thì PonyFinal dùng mã Visual Basic kích hoạt rào chắn PowerShell để lấy dữ liệu. Hơn nữa, những người thực hiện tấ.n côn.g còn dùng hệ thống điều khiển từ xa để tránh sự sao lưu. Một khi PonyFinal nắm chắc được hệ thống mạng lưới của mục tiêu, chúng sẽ phát tán đến các hệ thống lân cận khác và triển khai PonyFinal.
Microsoft cho biết thêm rằng những file mã hóa bởi mã độc tống tiề.n PonyFinal thường có đuôi ".enc" và yêu cầu đòi tiề.n thường có tên là README_files.txt.
Tại thời điểm hiện nay, do có tính bảo mật cao nên mã của PonyFinal vẫn chưa được giải.
Việt Nam xếp thứ 24 về số lượng tấ.n côn.g mã độc tống tiề.n Mới đây, các nhà nghiên cứu của Kaspersky đã phát hiện ra một họ mã độc tống tiề.n kiểu mới nhắm đến các thiết bị lưu trữ mạng (NAS). Về cơ bản, những loại mã độc này sẽ mã hóa các tệp tin trên thiết bị lưu trữ, yêu cầu người dùng trả tiề.n chuộc để giải mã dữ liệu. Trong quý III-2019,...