Phát hiện mã độc mới Lojax cực kỳ nguy hiểm, không thể diệt
Malware mới có khả năng “bất tử” (không thể t.iêu d.iệt) này do các hacker Nga tạo ra. Ngay cả khi ta cài lại hệ điều hành và thay ổ cứng vẫn không thoát khỏi “bàn tay đen” của chúng.
Các chuyên gia của hãng bảo mật ESET đã phát hiện ra một malware mới cực kỳ nguy hiểm có tên Lojax, đang lây nhiễm vào máy tính nạn nhân những đoạn code độc hại. Theo các chuyên gia này, nhiều khả năng mã độc Lojax đến từ một nhóm hacker có tên Fancy Bear – một nhóm hacker nổi tiếng của Nga, theo trang PCMag.
Trước đây, đã từng có một vài lý thuyết đề cập đến loại hình tấn công này, nhưng đây là lần đầu tiên loại malware nhắm đến phần mềm của máy tính UEFI này đã xuất hiện trong thế giới thực.
Fancy Bear – một nhóm hacker nổi tiếng của Nga.
UEFI là tên viết tắt của giao diện Unified Extensible Firmware Interface, một phiên bản nâng cấp của BIOS trước đây, vốn được sử dụng để khởi động hệ thống. Bằng cách viết lại UEFI, malware Lojax có thể tồn tại lâu dài trong bộ nhớ flash của máy tính, cho phép nó sống sót ngay cả khi cài đặt lại hệ điều hành và thay ổ cứng.
“Để loại bỏ malware này cũng đồng nghĩa với việc viết đè lên bộ nhớ của ổ lưu trữ flash, một hành động không dễ dàng và chắc chắc đối với đại đa số người dùng máy tính phổ thông.” – ESET đã cho biết như thế trong bài đăng của mình trên blog.
Video đang HOT
Mặc dù không tiết lộ chủ sở hữu của máy tính đã bị nhiễm mã độc, nhưng hãng bảo mật ESET cũng cho biết, họ đã phát hiện ra Fancy Bear đang sử dụng các thành phần khác nhau của malware Lojax trên những máy tính thuộc các tổ chức chính phủ ở các quốc gia vùng Balkan, vùng Trung Á và khu vực Đông Âu.
Theo ESET, Lojax là rootkit đầu tiên nhắm mục tiêu đến UEFI từng bị phát hiện khi đang tấn công vào một hệ thống máy tính trong thế giới thực. Trước đây, các chuyên gia chủ yếu xem các rootkit UEFI như một dạng tấn công trong lý thuyết, cho dù đã có các bằng chứng cho thấy những hãng bảo mật tư nhân đang bán các công cụ hack cho các khách hàng chính phủ.
“Có thể xem nó như một thông điệp cảnh báo, đặc biệt là với tất cả những ai trong tầm ngắm của Fancy Bear.” – ESET cho biết.
ESET cũng cho biết, hành vi của Lojax bắt chước một công cụ phần mềm hợp pháp có tên Lojack – một sản phẩm chống trộm, cũng rất khó có thể loại bỏ khỏi máy tính PC. “Trong khi mục đích của phần mềm này là để bảo vệ hệ thống khỏi kẻ trộm, khả năng sống sót qua việc cài lại hệ điều hành và thay ổ cứng là rất quan trọng. Vì vậy nó được triển khai như một module trong UEFI/BIOS, có thể sống sót qua các sự kiện như vậy.” – ESET cho biết thêm.
Nhóm hacker Fancy Bear (Nga) còn được biết đến dưới tên Sednit, từng bị chỉ trích vì một loạt các cuộc tấn công vào các nhóm chính phủ, bao gồm cả vụ rò rỉ thông tin trong mạng máy tính của Ủy bản Dân chủ Quốc gia trong chiến dịch tranh cử tổng thống Mỹ năm 2016.
Với malware Lojax này, nhóm Fancy Bear cho thấy họ đã “vũ khí hóa” sản phẩm chống trộm cắp Lojack để giúp chúng tấn công các máy tính và vượt qua các phần mềm bảo mật.
ESET cũng nghi ngờ rằng, Lojax được Fancy Bear phát triển từng phần dựa trên các câu lệnh và máy chủ điều khiển giao tiếp với malware. Các tên miền dành cho những máy chủ này trước đây từng được sử dụng để lưu trữ các công cụ hack khác do Fancy Bear phát triển.
Và ESET nhấn mạnh rằng, các nhà cung cấp sản phẩm chống virus sẽ cho phép Lojack chạy trên PC khi họ giả định rằng các process hệ thống là an toàn, và điều này rất nguy hiểm cho người dùng.
Hiện vẫn chưa rõ Fancy Bear làm cách nào để đưa malware này vào máy tính nạn nhân, nhưng nó có thể được sử dụng để tải xuống các module phần mềm độc hại khác vào máy tính bị lây nhiễm.
“Khả năng tốt nhất của Lojax là ‘vô hình’ và ’sống dai’, nên nó hoàn toàn có thể được sử dụng để đảm bảo duy trì truy cập được vào các tài nguyên quan trọng trên máy tính.” – Báo cáo của ESET cho biết.
Tin tốt là bạn có thể chặn cuộc tấn công của Lojax thông qua một tính năng tiêu chuẩn trên PC có tên Secure Boot. Tính năng này sẽ kiểm tra tất cả các phần trong máy tính PC của bạn, bao gồm cả firmware, để xem chúng có được xác thực với mã hợp lệ do nhà sản xuất ký chứng nhận hay không, và Malware Lojax sẽ không vượt qua được bài kiểm tra này.
Secure Boot thường được kích hoạt mặc định. Để bật hoặc tắt nó, bạn có thể khởi động lại máy tính, vào phần BIOS để truy cập vào tính năng này.
Cuối cùng, ESET cũng khuyến cáo người sở hữu PC cần liên tục cập nhật firmware cho bản mạch chủ của mình để ngăn chặn hacker khai thác các lỗ hổng.
Theo pcword
Phát hiện mã độc tống t.iền Virobot lây lan nhanh qua email
Một nhóm các nhà nghiên cứu bảo mật thuộc TrendLabs vừa thông báo về một loại mã độc (ransomware) mới, được họ đặt tên là Virobot, đang lây lan nhanh qua email và rất nguy hiểm.
Theo TheWindowsClub, mã độc tống t.iền mới Virobot này tống t.iền người dùng bằng cách mã hoá máy tính (ransomware), đang "tác oai, tác quái" với nhiều người dùng tại Mỹ, đặc biệt là nó đang lây lan rất nhanh qua email và có thể theo dõi hành vi gõ phím người dùng.
Thông báo đòi t.iền chuộc của Virobot bằng tiếng Pháp
Các nhà nghiên cứu cho biết, khi tồn tại trên máy tính của nạn nhân, Virobot sẽ tạo một mã khoá ngẫu nhiên để mã hoá tất cả các tài liệu quan trọng trên máy. Các file mà Virobot nhắm đến thường có đuôi là TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN PHP, ASP, ASPX, HTML, XML, PSD, PDF và SWP, cho thấy khả năng bao phủ của Virobot rất rộng. Sau khi quá trình mã hoá các file kết thúc, Virobot sẽ hiện một dòng thông báo đòi t.iền chuộc trên màn hình của người dùng.
Ngoài mã hoá máy tính, mã độc Virobot còn có tính năng như một botnet và spam. Trường hợp người dùng nhiễm ransomware này thông qua ứng dụng email Microsoft Outlook, Virobot sẽ tự động lấy danh sách liên lạc email trong máy của người đó để phát tán cho những người dùng khác một email chứa phần mềm ransomware này. Chính điều này đã làm cho ransomware này lây lan cực nhanh và nguy hiểm vô cùng.
Ngoài ra, nhóm nghiên cứu bảo mật của TrendLabs cũng phát hiện mã độc này còn bao gồm một hệ thống keylogger đơn giản, có thể ghi lại tất cả các thao tác gõ bàn phím của người dùng, sau đó gửi tất cả thông tin này đến một máy chủ. Nguy hiểm hơn, Virobot cũng cho phép người tạo ra ransomware này tải xuống phần mềm độc hại khác từ máy chủ của ransomware và thực thi nó.
Virobot cũng không phải là ransomware đầu tiên đi kèm với keylogger hoặc các thành phần khác. Trước đó, nhiều phần mềm độc hại đã được phát tán gần đây như LokiBot, Rakhni XBash,... cũng thường đi kèm với nhiều tính năng khác, như đào t.iền ảo, botnet, keylogger,... với mục tiêu nhắm đến là nhiều đối tượng khác nhau, từ người dùng cá nhân cho đến đến các tổ chức, ngân hàng.
Theo PCWord
Phát hiện smartphone bị nhiễm mã độc đào t.iền ảo Công ty bảo mật Eset phát hiện Bug Swasher - một trò chơi có hàng triệu người tải về trên Google Play Store - chứa mã độc âm thầm cài đặt và khai thác t.iền điện tử trên smartphone nhưng người dùng không hề hay biết. Các nhà nghiên cứu cho biết, đây là cách thức tấn công mới, gọi là "cryptojacking". Trong...
