5 loại mã độc hiện đang 'hoành hành' trong nửa đầu tháng 1

12/01/2018 15:40 GMT+7

TTO - LightsOut, Brickerbot, BlackMine, FakeBank và CoffeeMiner là 5 cái tên nổi cộm mà bất cứ người dùng nào cũng cần dè chừng khi online.

LightsOut

5 loại mã độc hiện đang hoành hành trong nửa đầu tháng 1     - Ảnh 1.

LightOut ẩn trong 22 ứng dụng đèn pin giả mạo trên Google Play - Ảnh: Ethan Miller/Getty Images.

Mã độc quảng cáo này ẩn trong 22 ứng dụng đèn pin giả mạo trên Google Play và liên tục "công phá" người dùng bằng loạt pop-up tràn màn hình đến nỗi không thể tiếp tục sử dụng thiết bị.

Danh sách ứng dụng độc hại gồm có Flashlight Pro, Smart Flashlight, Cool Flashlight, Network Guard, Realtime Cleaner, Call Recorder Pro… và các ứng dụng này đã được tải xuống từ 1,5 đến 7,5 triệu lượt.

Theo Check Point, sau khi được khởi chạy, mã độc sẽ ẩn biểu tượng ứng dụng trên màn hình chính khiến người dùng không thể tìm và gỡ cài đặt, đồng thời liên tục "dội bom" quảng cáo, kể cả người dùng có cắm sạc hoặc khóa màn hình điện thoại thì pop-up vẫn bật liên tục.

Hiện Check Point đã thông báo cho Google về tình trạng này. Đây không phải là lần đầu tiên Google Play bị phát hiện có chứa ứng dụng ẩn mã độc. Trend Micro gần đây đã phát hiện ra 36 ứng dụng Android độc hại giả mạo công cụ bảo mật nhằm thu thập dữ liệu người dùng và theo dõi vị trí của họ.

Brickerbot

Mới đây, NewSky Security đã phát hiện một mã độc, nghi là Brickerbot, đang nhắm tới lỗ hổng zero-day CVE-2017-17215 trong thiết bị router Huawei HG532 trên Pastebin.

Lỗ hổng này được công bố lần đầu tiên bởi Check Point và là nguồn cơn cho hàng loạt cuộc tấn công DDoS đình đám, trong đó có vụ Satori vào năm ngoái, làm tổn hại hàng ngàn thiết bị IoT và hơn 280.000 địa chỉ IP khác nhau bị đánh cắp.

Trong khi đó, mã độc Brickerbot từng bị phát hiện vào tháng 4-2017, dính líu đến loạt tấn công PDoS phá hủy thiết bị IoT, và ở chiến dịch này, các nhà nghiên cứu cho thấy mã độc có rất nhiều điểm tương đồng với các đoạn mã nguồn Brickerbot được phân tích.

Ankit Anubhav, nhà nghiên cứu chính của NewSky Security, cho biết: "Huawei đã phát hành một bản vá bảo mật để bảo vệ các thiết bị chống lại các lỗ hổng khai thác từ xa."

Trước Huawei, router NetGear (hay còn gọi là NbotLoader) cũng bị khai thác lỗ hổng và bị cho là có liên quan đến botnet Qbot.

FakeBank

5 loại mã độc hiện đang hoành hành trong nửa đầu tháng 1     - Ảnh 2.

FakeBank có thể ăn cắp thông tin nhạy cảm từ thiết bị di động bao gồm số điện thoại, danh sách các ứng dụng ngân hàng được cài đặt, số dư trên thẻ ngân hàng và vị trí nạn nhân - Ảnh: iStock.

Mã độc ngân hàng này có thể ăn cắp thông tin nhạy cảm từ thiết bị di động bao gồm số điện thoại, danh sách các ứng dụng ngân hàng được cài đặt, số dư trên thẻ ngân hàng và vị trí nạn nhân.

Theo Trend Micro, FakeBank được phát hiện trong một số ứng dụng quản lý tin nhắn SMS/MMS. Sau khi nhiễm, mã độc sẽ thay thế chương trình quản lý SMS/MMS mặc định trên thiết bị, giám sát, phân tích mọi tin nhắn nhận được, thậm chí chặn và xóa các tin nhắn. Điều này có nghĩa là bất kỳ yêu cầu xác minh hoặc truy vấn nào từ ngân hàng cho người dùng đều có thể bị chặn và gỡ bỏ.

Bên cạnh kiểm soát tin nhắn, nó còn kết nối và gửi thông tin bị đánh cắp đến máy chủ C & C mà người dùng không hề hay biết. Sau đó, hacker sẽ sử dụng dữ liệu bị đánh cắp để đăng nhập vào các tài khoản ngân hàng trực tuyến của nạn nhân, đặt lại mật khẩu và bí mật chuyển tiền vào tài khoản của chúng.

Nó cũng chặn người dùng mở tài khoản ngân hàng trực tuyến khác để chắc chắn không bất kỳ sự thay đổi nào về mối liên kết giữa số thẻ ngân hàng và số điện thoại của nạn nhân.

Nguy hiểm hơn là FakeBank có khả năng ngăn cản người dùng cài đặt các thiết bị "có thể ngăn chặn cài đặt" và rà soát các phần mềm chống virus. Trend Micro giải thích: "Nó thực sự sử dụng ít nhất 3 thủ thuật khác nhau, một kỹ thuật phức tạp dạng đa tầng, nhằm tránh bị phát hiện."

Được biết, FakeBank chủ yếu nhắm tới khách hàng của nhiều tổ chức tài chính ở Nga như Sberbank, Leto Bank và VTB24 Bank. Nó cũng được phát hiện ở Trung Quốc, Ukraina, Romania, Đức và một số các nước nói tiếng Nga khác.

Hầu hết các tên miền C & C của FakeBank đều có địa chỉ IP ở tỉnh Warmia-Masuria ở Ba Lan và Nga, được đăng ký bởi một công ty có tên là Wuxi Yilian mà trước đây đã liên kết với nhiều tên miền lừa đảo khác.

BlackMine

Theo Alien Vault, có một mã độc được kích hoạt từ địa chỉ IP 175.45.178.19, chủ yếu hoạt động trên các trang web giao dịch Bitcoin khoảng 2 tuần qua, đã bí mật khai thác mỏ tiền điện tử và gửi tiền đến Đại học Kim Il Sung ở Bình Nhưỡng (Triều Tiên).

Địa chỉ IP này khá nổi tiếng, từng được dùng để kiểm soát các máy chủ web bị xâm nhập trong một loạt các cuộc tấn công an ninh mạng vào năm 2014-2015 có liên quan đến Triều Tiên, có tên gọi là BlackMine.

"Liệu đây có phải là nỗ lực của Triều Tiên để tìm kiếm các nguồn thu nhập thay thế khi đất nước này vốn bị hạn chế thương mại?" - Các nhà nghiên cứu đặt ra nghi vấn, đặc biệt là khi các trường đại học ở Triều Tiên rất tỏ ra quan tâm đến tiền điện tử khi liên tục mời các chuyên gia nước ngoài đến giảng dạy và thuyết trình về vấn đề này.

Thông qua các trình mật mã dựa trên trình duyệt và mã hóa các trang web phổ biến, mã độc sẽ xâm nhập vào tài khoản nạn nhân khi giao dịch, đào mỏ và gửi dần dần số tiền ăn cắp đi sang ví hacker nên rất khó phát hiện.

Không chỉ nhắm mục tiêu đến Hàn Quốc, mã độc này còn phát tán đến nhiều nơi trên thế giới, cho nên bất cứ người dùng nào cũng nên cẩn thận khi giao dịch tiền điện tử.

Tuy nhiên, các nhà nghiên cứu vẫn chưa xác định được chiến dịch này có liên quan không đến Lazarus, nhóm hacker khét tiếng của Triều Tiên.

CoffeeMiner

5 loại mã độc hiện đang hoành hành trong nửa đầu tháng 1     - Ảnh 3.

Người dùng cần cẩn thận khi truy cập các mạng Wi-Fi công cộng tại các cửa hàng cà phê. - Ảnh: Reuters/Mario Anzuoni.

"Hơn cả một mã độc, CoffeeMiner là một mối đe dọa lớn", nhà phát triển phần mềm Arnau Code đã nói về CoffeeMiner, một cơ chế tấn công cho phép hacker chiếm quyền kiểm soát các mạng Wi-Fi công cộng để đào tiền điện tử.

Đúng như tên gọi, CoffeeMiner nhắm đến các quán cà phê có phát Wi-Fi và tấn công bằng cách chèn Javascript vào các trang HTML mà người dùng truy cập. Sau đó, các thông điệp ARP giả mạo được gửi vào mạng đích và cho phép hacker chặn tất cả lưu lượng truy cập trên mạng công cộng.

Khi đó, chỉ cần một dòng mã được tiêm vào các trang HTML được nhắm mục tiêu, thì tài khoản tiền điện tử của người dùng có nguy cơ bị đào mỏ. Đặc biệt, nó còn có thể tiêm chứng chỉ SSL để đảm bảo việc lây lan có thể thực hiện qua cả HTTPS.

Arnau nói thêm: "Nhược điểm duy nhất của CoffeeMiner là thời gian người dùng truy cập trên một trang. Nếu người dùng ở lại trang web với thời lượng trung bình khoảng 40 giây thì quá trình tấn công có thể chưa kịp diễn ra. Tuy nhiên, người dùng vẫn phải cẩn thận khi truy cập các mạng Wi-Fi công cộng không an toàn, đặc biệt là tại các cửa hàng cà phê."

Gần đây, một cuộc tấn công tương tự đã diễn ra tại cửa hàng Starbucks ở Buenos Aires (Argentina) khi khách hàng truy cập Wi-Fi miễn phí và bị đào tiền điện tử Monero.


Bắt hacker tấn công DDoS vào Google và Skype để lan truyền mã độc

TTO - Alex Bessell, một hacker 21 tuổi ở Liverpool (Anh), mới đây đã bị chính quyền Anh phát hiện và bắt giữ vì thực hiện các cuộc tấn công DDoS chống lại Google, Skype và Pokemon để lan truyền và rao bán phần mềm độc hại trực tuyến.

Lại thêm một mã độc mới tấn công Android xuất hiện: ToastAmigo

TTO - Các nhà nghiên cứu bảo mật Trend Micro vừa qua đã phát hiện ra một mã độc Android mới có thể bí mật cài đặt các phần mềm độc hại khác vào thiết bị bằng cách khai thác lỗ hổng Toast Overlay.

Facebook có thể bị giải mã dữ liệu bởi lỗ hổng ROBOT

TTO - ROBOT là lỗ hổng được phát hiện lần đầu tiên vào năm 1998 bởi nhà toán học người Thụy Sĩ Daniel Bleichenbacher. Các nhà nghiên cứu bảo mật cho rằng lỗ hổng 19 năm tuổi này vẫn có thể bị hacker khai thác để nhắm mục tiêu đến Facebook, Paypal và

5 loại mã độc mới xuất hiện trong tháng 12 mà bạn cần tránh xa

TTO - GnatSpy, AnubisSpy, Catelites Bot, Zeus Panda và Loapi là 5 cái tên mà bạn phải cẩn thận dè chừng khi online.

Hơn 12.000 máy tính tại Việt Nam nhiễm mã độc Facebook đào tiền ảo

TTO - Tính đến chiều ngày 21-12, thống kê từ hệ thống giám sát virus của Bkav cho biết đã có hơn 12.600 máy tính tại Việt Nam nhiễm mã độc đào tiền ảo lây qua Facebook.

Hacker khai thác lỗ hổng zero-day trên router Huewei để phát tán biến thể Mirai

TTO - Mới đây, một hacker có mật danh Nexus Zeta đã khai thác lỗ hổng zero-day trong mẫu router của Huawei và phát tán một biến thể của botnet Mirai khét tiếng: Satori. Các chuyên gia bảo mật cho biết họ đã phát hiện ra một loạt các cuộc tấn công khai thác lỗ hổng zero-day tại Mỹ, Ý, Đức và Ai Cập.

Lỗ hổng hệ thống định danh cá nhân

TTO - Aadhaar là một hệ thống định danh cá nhân bằng sinh trắc học ở Ấn Độ. Sáng kiến công nghệ này được kỳ vọng giúp chính phủ quản lý công dân tốt hơn, nhưng lại tiềm ẩn nguy cơ lộ thông tin cá nhân.

CAO CƯỜNG
Lùi thời gian sửa cáp, xem World Cup qua mạng có thể bị ảnh hưởng

TTO - Trung tâm điều hành tuyến cáp quang biển quốc tế AAG vừa cho biết kế hoạch sửa chữa tuyến cáp quang biển AAG sẽ lùi đến 22-7 mới xong.

Người dùng Android đã có thể gửi tin nhắn từ trình duyệt máy tính

TTO - Để gửi và nhận tin nhắn thông qua trình duyệt, bạn chỉ cần truy cập trang web https://messages.android.com và quét mã QR.

Người Việt sẵn sàng đổi thông tin cá nhân lấy quà miễn phí!

TTO - Gần một nửa số người Việt Nam vớ lấy điện thoại di động trong vòng 5 phút sau khi thức dậy. Nhưng smartphone được người Việt chủ yếu dùng để vào mạng xã hội.

Dùng chung thiết bị điện tử với 'người ấy' sẽ có nguy cơ bị hack cao hơn

TTO - Một nghiên cứu của Kaspersky cho thấy 24% người dùng dễ gặp các sự cố an ninh mạng hơn khi chia sẻ thiết bị và tài khoản trực tuyến của mình với “đối tác”.

10 năm qua, App Store của Apple đã thay đổi thế giới như thế nào?

TTO - Ngày 10-7-2008, Apple đã mở cửa hàng bán các ứng dụng iPhone, cũng từ đó mở ra một kỷ nguyên sáng tạo của các nhà phát triển phần mềm và thay đổi cuộc sống của hàng tỉ người trên khắp thế giới.

Trẻ em dễ tổn thương nhất nhưng đang đi đầu trong dùng Internet

TTO - Việt Nam hiện có tỉ lệ tăng trưởng Internet nhanh nhất trong khu vực. Đến 6-2017, 64 triệu người (67,1% dân số) Việt sử dụng Internet, có 64 triệu tài khoản Facebook trong đó phần lớn là trẻ em và thanh niên.

Máy in 3D ‘xây’ nhà cho 5 người ở chỉ trong 54 giờ
3D

TTO - Một nhóm chuyên gia tại Pháp đã xây dựng được ngôi nhà 5 phòng bằng công nghệ in 3D đầu tiên tại thành phố Nantes chỉ trong 54 giờ.