Phát hiện siêu mã độc chuyên tấn công hệ thống máy tính quản lý cấp cao

16:53 | 17/12/2014

Một loại mã độc (malware) phức tạp mới được phân loại vào chủng "Mã độc có thể đe dọa dai dẳng" vừa được 2 công ty bảo mật là Kaspersky Lab và Blue Coat phát hiện.

Kaspersky Lab gọi mã độc này là Cloud Atlas trong khi Blue Coat đặt cho nó cái tên là Inception. Tuy nhiên, cả hai đều được cho là có xuất xứ từ những hacker tạo ra mã độc gián điệp Red October tập trung tấn công các hệ thống điều hành cấp cao của các nhà máy lọc dầu, các công ty tài chính và cơ quan chính phủ.

Mã độc mới cũng có cùng mục tiêu tấn công như Red October và được phát hiện tại nhiều quốc gia như Nga, Kazakhstan, Ấn Độ, Belarus, CH Czech, Romania, Venezuela, Mozambique, Paraguay và Thổ Nhĩ Kỳ. Cloud Atlas hay Inception lây nhiễm trên nhiều nền tảng như Android, iOS, Windows Phone và BlackBerry thông qua ứng dụng, tuy nhiên, một phiên bản cho máy tính để bàn của loại mã độc này cũng có thể lây nhiễm trên máy tính dùng Windows. Trên điện thoại, mã độc có thể xuất hiện dưới dạng một bản cập nhật ứng dụng quen thuộc, chẳng hạn như Whatsapp còn trên máy tính, nó có thể lây nhiễm thông qua các đoạn mã Visual Basic mà người dùng có thể vô tình tải về từ các file văn bản đính kèm trong email. Kẻ tấn công có thể kiểm soát mã độc thông qua các tài khoản miễn phí trên CloudMe - một dịch vụ lưu trữ đám mây của Thụy Sĩ.

Đến nay, người ta vẫn chưa rõ nguồn gốc chính xác của mã độc này. Mã lập trình của mã độc phân mảnh khiến các nhà nghiên cứu phải mở rộng phạm vi ra nhiều quốc gia và khu vực, bao gồm cả Trung Quốc, Hàn Quốc, Ấn Độ, Đông Âu, Nga, Ukraine, Trung Đông, Anh và thậm chí là Mỹ. Rõ ràng là kẻ tạo ra mã độc này muốn gây khó khăn cho các nhà nghiên cứu bảo mật trong việc xác định địa điểm của chúng.

Công ty Blue Coat cảnh báo người dùng nên kiểm tra lưu lượng truy cập WebDAV trái phép hay tiến trình có tên "regsvr32.exe" liên tục chạy trong danh sách tiến trình của Task Manager. Ngoài ra, người dùng cũng nên cảnh giác với các email có chứa văn bản định dạng .RTF và tin nhắn đa phương tiện MMS thông báo về việc cập nhật ứng dụng.

Khuyến cáo của các công ty bảo mật hiện tại là người dùng cần cập nhật phần mềm mới và không cài đặt các ứng dụng từ các nguồn không tin tưởng cũng như không root hay jailbreak thiết bị vì điều đó dễ dẫn đến bị chiếm quyền kiểm soát.