Tin tặc giấu mã độc sau biểu tượng của Windows

Anh Quân09:36 03/10/2022

Mã độc tạo backdoor phục vụ các chiến dịch tấn công mạng được nhóm tin tặc Witchetty giấu phía sau logo của Windows vừa bị phát hiện.

Một nhóm nghiên cứu bảo mật mới đây phát hiện chiến dịch tấn công bằng mã độc do nhóm tin tặc Witchetty cầm đầu, sử dụng chiến thuật ẩn mã để che giấu chương trình khả nghi chứa backdoor (cửa hậu để tấn công khiến nạn nhân không hay biết) bên dưới logo của Windows.

Logo Windows 7 bị tin tặc ẩn mã độc

Theo BleepingComputer, Witchetty được cho là liên quan mật thiết tới nhóm tin tặc APT10 (tên gọi khác Cicada) của Trung Quốc. Thậm chí, nhóm này còn được xem như một phần của hoạt động TA410, chiến dịch từng dính líu tới vụ tấn công vào các nhà cung cấp năng lượng tại Mỹ.

Video đang HOT

Báo cáo của hãng bảo mật Symantec cho thấy nhóm hacker đang thực hiện chiến dịch gián điệp mạng khởi động từ tháng 2.2022 nhắm vào 2 chính phủ ở Trung Đông, một sàn giao dịch chứng khoán tại châu Phi và chưa dừng lại.

Trong chiến dịch mới, các tin tặc sử dụng công cụ của mình nhắm vào nhiều mục tiêu dễ tấn công khác nhau, lợi dụng ẩn mã để giấu mã độc khỏi các phần mềm chống virus có trên máy tính. “Ẩn mã” thường trà trộn vào các tập tin trên máy tính, dữ liệu công khai để tránh bị phát hiện. Ví dụ, tin tặc tạo một tập tin dạng ảnh hiển thị bình thường trên máy tính, nhưng ẩn sau đó là đoạn mã độc có thể được trích xuất để sử dụng cho mục đích xấu.

Witchetty lần này sử dụng backdoor mã hóa đưa vào trong file ảnh mang logo Windows cũ. Tập tin này được lưu trữ trên một dịch vụ đám mây được tin cậy thay vì máy chủ ra lệnh và kiểm soát (C2) thường được tin tặc sử dụng, từ đó giảm thiểu rủi ro bị công cụ bảo mật phát hiện.

“Việc ngụy trang theo kiểu này cho phép kẻ tấn công đặt tập tin trên máy chủ miễn phí và được tin cậy. Ví dụ, tải ảnh từ nguồn uy tín như GitHub sẽ ít nguy cơ bị phát hiện hơn tải từ C2″, chuyên gia của Symantec phân tích trong báo cáo.

Mã độc ẩn dưới logo Windows này có thể thực thi lệnh liên quan tới tập tin và đường dẫn lưu trữ trên máy, tự khởi động hoặc kết thúc một quy trình làm việc, chỉnh sửa phần Windows Registry (cơ sở dữ liệu phân cấp lưu trữ các cài đặt cho hệ điều hành Windows), tải thêm các gói ngoài mong muốn của nạn nhân…

McAfee có lỗ hổng cho phép hacker chạy code chiếm quyền hệ thống Windows

Trellix (tên mới của McAfee Enterprise) vừa vá một lỗ hổng nghiêm trọng trên phần mềm McAfee Agent dành cho Windows, cho phép tin tặc chiếm quyền hệ thống Windows và thực thi mã độc.

McAfee Agent là một thành phần phía máy khách (client-side) của McAfee ePolicy Orchestrator. Phần mềm này có nhiệm vụ tải xuống và thực thi các chính sách điểm cuối (endpoint) và triển khai chữ ký chống virus, nâng cấp, vá các sản phẩm mới trên endpoint của doanh nghiệp.

Được tìm ra bởi nhà phân tích bảo mật Will Dormann (đến từ CERT/CC - Trung tâm Điều phối nhóm ứng phó khẩn cấp máy tính, trực thuộc Viện Kỹ thuật phần mềm Mỹ), lỗ hổng được đánh giá là nghiêm trọng và được theo dõi dưới mã CVE-2022-0166. Sau khi khai thác thành công, tin tặc có thể thực thi các phần mềm độc hại nhưng vẫn không bị phát hiện.

Lỗ hổng bảo mật LPE được tìm thấy trên McAfee Agent

Thông thường, các lỗ hổng dạng LPE sẽ được khai thác trong giai đoạn sau của các cuộc tấn công, giúp mã độc có thể xâm nhập sâu vào trong hệ thống nạn nhân và thi hành mã độc với đặc quyền NT AUTHORITY\SYSTEM - vốn chỉ được sử dụng bởi hệ điều hành và các dịch vụ có sẵn được Microsoft tích hợp.

Lỗ hổng đã được nhà phát hành khắc phục với bản cập nhật McAfee Agent 5.7.5, được phát hành hôm 18.1 vừa qua. Với các phiên bản cũ hơn, nguy cơ bị tấn công là rất cao, do đó McAfee khuyến khích người dùng bản cũ hãy nâng cấp ngay khi có thể.

Từng có rất nhiều lỗ hổng bảo mật được tìm ra trên McAfee

Theo thống kê của Bleeping Computer, đây không phải là lần đầu tiên một lỗ hổng nghiêm trọng trên sản phẩm bảo mật Windows của McAfee được tìm thấy.

Tháng 9.2021, một lỗ hổng LPE (mã CVE-2020-7315, cho phép tin tặc thực thi mã độc và vô hiệu hóa trình diệt virus) đã được nhà nghiên cứu Clement Notin đến từ công ty bảo mật Tenable phát hiện ra.

Trước đó, một lỗ hổng bảo mật LPE khác cho phép hacker thực thi mã độc bằng tài khoản hệ thống đã được tìm thấy. Lỗ hổng này ảnh hưởng đến tất cả các phần mềm chống virus dành cho Windows của McAfee trong thời điểm cuối năm 2019, bao gồm Total Protection, Anti-virus Plus và Internet Security.

11.600 máy chủ tại Việt Nam có thể bị khai thác lỗ hổng Tin tặc có thể thực thi mã và tấn công hệ thống từ xa khi khai thác lỗ hổng mức nghiêm trọng mã CVE-2022-26809 của Windows. Ngày 12/4, Microsoft đã phát hành bản vá Windows với 128 lỗ hổng bảo mật trên hệ điều hành. Đặc biệt, lỗi CVE-2022-26809 được công ty đánh giá với CVSS (Hệ thống chấm điểm lỗ hổng bảo...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Từ Hàn Quốc về mà không báo ai, chàng trai bị mẹ "tát không trượt phát nào"01:12

Cận cảnh Quang Hải cầm xấp tiền, đếm rồi lì xì cho mẹ vợ, dân mạng "chỉ biết ước" nhưng vẫn góp ý 1 điều01:04

Sao nam Vbiz về ăn Tết nhưng bị bố mẹ doạ đuổi ra khỏi nhà, chuyện gì đây?01:23

Nhạc Tết 2025: Đen giữ vững phong độ, các Anh Tài đổ bộ nhưng thiếu hẳn những bản hit mang tầm "quốc dân"?05:15

Hoa hậu Việt đứng hình khi nhận được lời chúc kỳ lạ nhất dịp Tết00:43

Vụ xe ôtô lao xuống mương 7 người tử vong: Công an công bố nguyên nhân ban đầu14:39

11 'quái xế' chạy vào cao tốc Nghi Sơn - Diễn Châu bị phạt 78 triệu đồng501:27

Choáng với màn phát lì xì của Trấn Thành: Số tiền khiến dàn sao quá sốc, chỉ 1 nàng hậu nhận cái kết ê chề01:25

Căng nhất mùa Tết: Thí sinh Rap Việt đòi nợ công ty cũ!05:29

Lọ Lem - Hạt Dẻ bất giác bị bố Quyền Linh bắt gặp, lộ nhan sắc và tính cách thật00:53

Quán Quang Linh bị so sánh với quán của Trường Giang - Trấn Thành, giống 1 điều03:06

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn