Tin tặc giấu mã độc sau biểu tượng của Windows

02/10/2022 07:06 GMT+7

Mã độc tạo backdoor phục vụ các chiến dịch tấn công mạng được nhóm tin tặc Witchetty giấu phía sau logo của Windows vừa bị phát hiện.

Một nhóm nghiên cứu bảo mật mới đây phát hiện chiến dịch tấn công bằng mã độc do nhóm tin tặc Witchetty cầm đầu, sử dụng chiến thuật ẩn mã để che giấu chương trình khả nghi chứa backdoor (cửa hậu để tấn công khiến nạn nhân không hay biết) bên dưới logo của Windows.

Logo Windows 7 bị tin tặc ẩn mã độc

chụp màn hình

Theo BleepingComputer, Witchetty được cho là liên quan mật thiết tới nhóm tin tặc APT10 (tên gọi khác Cicada) của Trung Quốc. Thậm chí, nhóm này còn được xem như một phần của hoạt động TA410, chiến dịch từng dính líu tới vụ tấn công vào các nhà cung cấp năng lượng tại Mỹ.

Báo cáo của hãng bảo mật Symantec cho thấy nhóm hacker đang thực hiện chiến dịch gián điệp mạng khởi động từ tháng 2.2022 nhắm vào 2 chính phủ ở Trung Đông, một sàn giao dịch chứng khoán tại châu Phi và chưa dừng lại.

Trong chiến dịch mới, các tin tặc sử dụng công cụ của mình nhắm vào nhiều mục tiêu dễ tấn công khác nhau, lợi dụng ẩn mã để giấu mã độc khỏi các phần mềm chống virus có trên máy tính. "Ẩn mã" thường trà trộn vào các tập tin trên máy tính, dữ liệu công khai để tránh bị phát hiện. Ví dụ, tin tặc tạo một tập tin dạng ảnh hiển thị bình thường trên máy tính, nhưng ẩn sau đó là đoạn mã độc có thể được trích xuất để sử dụng cho mục đích xấu.

Witchetty lần này sử dụng backdoor mã hóa đưa vào trong file ảnh mang logo Windows cũ. Tập tin này được lưu trữ trên một dịch vụ đám mây được tin cậy thay vì máy chủ ra lệnh và kiểm soát (C2) thường được tin tặc sử dụng, từ đó giảm thiểu rủi ro bị công cụ bảo mật phát hiện.

"Việc ngụy trang theo kiểu này cho phép kẻ tấn công đặt tập tin trên máy chủ miễn phí và được tin cậy. Ví dụ, tải ảnh từ nguồn uy tín như GitHub sẽ ít nguy cơ bị phát hiện hơn tải từ C2", chuyên gia của Symantec phân tích trong báo cáo.

Mã độc ẩn dưới logo Windows này có thể thực thi lệnh liên quan tới tập tin và đường dẫn lưu trữ trên máy, tự khởi động hoặc kết thúc một quy trình làm việc, chỉnh sửa phần Windows Registry (cơ sở dữ liệu phân cấp lưu trữ các cài đặt cho hệ điều hành Windows), tải thêm các gói ngoài mong muốn của nạn nhân...

Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.