Tin tức

Mã độc NanoCore

(KHCN)-Ngày 13/10, công ty CP An toàn thông tin CyRadar đã công bố thông tin về việc họ đã phát hiện nhiều chiến dịch tấn công mạng theo kiểu mới qua email bằng loại mã độc có tên là NanoCode, nhắm vào người dùng internet. Theo CyRadar, mã độc NanoCore này đặc biệt nguy hiểm, có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính người dùng, đã được các tin tặc sử dụng để thực hiện những chiến dịch tấn công mạng trong thời gian gần đây.

6 giai đoạn trong quá trình thực thi của mã độc NanoCore

Công ty cổ phần An toàn thông tin CyRadar cho biết, vào cuối tháng 9/2018 vừa qua, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Hacker đánh lừa người dùng tải và thực thi tệp mã độc trên máy tính. Lúc này, mã độc lập tức thực hiện một loạt các hành vi âm thầm, khéo léo để cài đặt một phần mềm gián điệp. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép hacker điều khiển được máy tính từ xa.
Thông tin thêm về chiến dịch tấn công mới của mã độc NanoCore, chuyên gia Công ty CyRadar cho hay, mã độc sử dụng tệp gdm.exe (có chữ ký số chuẩn) để thực hiện chạy mã độc hại được viết bằng ngôn ngữ AutoIT. Mục đích của hacker là làm khó khăn cho các phần mềm diệt virus vì trong trường hợp này tệp độc hại là dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định.
 
Theo chuyên gia CyRadar, 6 giai đoạn của mã độc trong chiến dịch tấn công gồm: Email lừa nạn nhân (1); File nén chứa mã độc được tải (2); File mã độc được viết bằng code AutoIT và được chạy bởi tiến trình gdm.exe (3); File mã độc được sinh ra từ tiến trình trước và cũng là code Auto IT, file được chạy bởi tiến trình gdm.exe (4); Mã độc RAT được inject vào tiến trình RegSvcs.exe hoặc firefox.exe (5); Hacker từ xa điều khiển máy tính, thu thập thông tin (6).
Trong đó, ở bước 5, mã độc thực hiện ghi một mẫu RAT có tên NanoCore Client lên bộ nhớ rồi thực thi. NanoCore Client là một phần mềm khá nổi ở trên mạng và đã bị nhiều phần mềm antivirus nhận diện. “Chính vì vậy, hacker phải dùng cách thức thực thi mẫu trên bộ nhớ để ẩn dấu. Ta nhận thấy, trong chiến dịch từ bước 1 đến bước 4 có thể thay đổi cách thức tiếp cận nạn nhân, cách thức lây nhiễm lên máy tính một cách linh hoạt và đa dạng”, chuyên gia CyRadar nêu.
Qua phân tích quá trình mã độc gián điệp cũ NanoCore thực hiện chiến dịch tấn công mới, CyRadar khuyến nghị các cơ quan, tổ chức, doanh nghiệp và người dùng cá nhân cần cảnh giác và kiểm tra kỹ email được nhận cũng như các tệp hoặc link đính kèm trong email đó.

Cụ thể, với người dùng cá nhân, người dùng cần sử dụng và thường xuyên cập nhật phần mềm diệt virus mới nhất. Đối với các doanh nghiệp, tổ chức, các đơn vị cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email; đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn