Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

 Ngày 13/10/2018, công ty CP An toàn thông tin CyRadar đã công bố thông tin về việc họ đã phát hiện nhiều chiến dịch tấn công mạng theo kiểu mới qua email bằng loại mã độc có tên là NanoCode, nhắm vào người dùng internet. Theo CyRadar, mã độc NanoCore này đặc biệt nguy hiểm, có khả năng đánh cắp dữ liệu và chiếm quyền điều khiển máy tính người dùng, đã được các tin tặc sử dụng để thực hiện những chiến dịch tấn công mạng trong thời gian gần đây.
 
Cụ thể, vào cuối tháng 9/2018, một chiến dịch tấn công gián điệp bằng email đã được CyRadar phát hiện. Tin tặc đã đánh lừa người dùng tải (mở email) và thực thi tệp mã độc trên máy tính. Sau khi được người dùng tải về, mã độc này lập tức thực hiện một loạt các hành vi âm thầm và khéo léo để cài đặt một phần mềm gián điệp trên máy khách. Nó có nhiệm vụ đánh cắp dữ liệu trên máy tính đó, cho phép tin tặc điều khiển được máy tính từ xa.
Quá trình thực thi mã độc NanoCore
 
Các tin tặc đã tạo ra những tệp có tên ngẫu nhiên và được viết bằng ngôn ngữ AutoIT, khiến mã độc này có rất nhiều hành vi độc hại như: Anti VM, Anti Sandbox, tắt UAC, tạo key run, tắt task manager, Downloader, inject code mã độc. Các hành vi này sẽ được điều khiển bằng một tệp có cấu hình bfx[.]dat.
 
Mã độc có tên NanoCore này cũng thực hiện rất nhiều hành vi thông qua cấu hình được lưu trữ ở Resource Directory. Ở đây, mã độc sử dụng các tính năng tạo key khởi động (key run), tạo task scheduler, anti debug, upload và download từ host sarutobi[.]hopto[.]org.
 
Trong đợt tấn công mạng mới này, tin tặc đã sử dụng một tệp tin cài đặt có tên gọi gdm.exe, vẫn được viết bằng ngôn ngữ AutoIT nhưng lại có dạng text và nội dung chứa rất nhiều đoạn ghi chú không cố định. Chính bởi điều này nên mặc dù bên trong têp tin có ẩn giấu mã độc NanoCore, nhưng các phần mềm bảo mật trên thiết bị của nạn nhân không thể nhận ra, hoặc nếu có thể nhận ra thì việc phát hiện cũng rất khó khăn.
 
Sau khi NanoCore được nạn nhân vô tình kích hoạt sẽ lập tức thực hiện nhiệm vụ đánh cắp tất cả các dữ liệu của nạn nhân, sau đó tiếp tục chiếm quyền điều khiển máy tính, qua đó giúp tin tặc có thể thực hiện mọi điều khiển theo ý muốn từ xa.

Các chuyên gia của CyRdar đưa ra khuyến cáo tới người dùng cá nhân cũng như tổ chức cần nâng cao cảnh giác đối với các "email lạ" và kiểm tra kỹ email nhận được, cũng như các tệp hoặc link đính kèm trong email đó. Với người dùng cá nhân, cần thường xuyên cập nhật phần mềm diệt virus mới nhất. Còn đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu bị tấn công cần khẩn trương cập nhật phần mềm diệt virus đang được sử dụng để đối phó, ngăn chặn khả năng bị lấy mã độc.