Tin mới
Hacker từ Trung Quốc giả mạo email của Thủ tướng để phát tán mã độc
Bộ phận an ninh mạng Bkav vừa điều tra và phát hiện ra một nhóm đối tượng giả mạo Thủ tướng để gửi email chứa mã độc được điều khiển qua domain từ Trung Quốc.
Ảnh minh họa. Ngày 5/6, Bkav nhận được thông tin từ phóng viên báo VietnamPlus về việc nhận được email với những tiêu đề có nội dung quan trọng như kết luận của Thủ tướng hay Hội nghị TW 11. Theo kết quả nghiên cứu ban đầu từ Bkav, những email này có chứa mã độc.
Theo Bkav, đây là một loại mã độc RAT (Remote Access Trojan), mở cổng hậu trên thiết bị của nạn nhân và cho phép hacker truy cập điều khiển từ xa (Remote Access). Virus ẩn nấp trong file văn bản được điều khiển qua domain (tên miền) của một công ty Trung Quốc đăng ký. Hacker khai thác lỗ hổng CVE-2012-0158 của Microsoft Office để chèn mã độc vào tập tin văn bản. Người sử dụng sau khi tải, mở tập tin này, virus sẽ cài 3 thành phần độc hại vào hệ thống của thiết bị, bao gồm LMS.exe; dbghelp.dll và ticrf.rat.
1. LMS.exe: Đây là một file chuẩn của Google Chrome bị lợi dụng với mục đích load và thực thi code của virus. Khi người dùng bình thường sẽ khó có thể phát hiện ra được virus đang chạy trên máy vì nó được chạy ngầm trong chương trình LMS.exe chuẩn của Google.
2. dbghelp.dll: Đây là thư viện của virus có tên trùng với một thư viện của Google. Mục đích là khi file này đặt cùng thư mục với file "LMS.exe" thì sẽ được file "LMS.exe" tự động load và thực thi thư viện này. Mục đích của file này là sẽ đọc code virus chính trong file "ticrf.rat", giải mã và thực thi code.
3. ticrf.rat: Đây là file data có chứa toàn bộ mã độc chính của virus. File này được nén và mã hóa. Nhìn bình thường thì ta sẽ chỉ có thể biết đây là một file dữ liệu rác bình thường. Nhưng khi được file dbghelp.dll giải mã thì ta sẽ thấy toàn bộ các hành vi độc hại của virus được chứa trong file này. Rất khó để phát hiện ra điểm đến của kẻ gian
Khi được khởi chạy, virus sẽ kết nối tới C&C Server (máy chủ điều khiển) có địa chỉ "home.dubkill.com". Tên miền này được đăng ký bởi một công ty của Trung Quốc. Địa chỉ IP của máy chủ điều khiển được hacker che giấu bằng địa chỉ giả (127.0.01), khi nào cần điều khiển sẽ cập nhật địa chỉ IP chính xác của máy chủ điều khiển thông qua việc update bản ghi DNS, kỹ thuật này được sử dụng để tránh bị phát hiện bởi các công cụ phân tích mạng và cho phép hacker thay đổi địa chỉ IP máy chủ điều khiển tùy ý ở từng thời điểm. Với kỹ thuât này, việc giám sát mạng thông thường không thể phát hiện ra chính xác máy chủ điều khiển của hacker. Điều này chỉ có thể thực hiện khi đọc mã nguồn của virus. Nạn nhân sẽ bị ảnh hưởng những gì
Việc mở một cổng hậu nhận lệnh điều khiển từ xa cho phép hacker kiểm soát, chiếm quyền điều khiển máy tính của nạn nhân. Như vậy, tin tặc có thể thu thập dữ liệu, ghi các thao tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại… của máy tính nạn nhân.
Từng có tiền lệ trước đó
Qua phân tích, các chuyên gia của Bkav cho biết mã nguồn của virus này tương tự với virus "Biển đông" tháng 7/2014. Đồng thời máy chủ điều khiển cũng cùng thuộc tên miền dubkill.com (máy chủ điều khiển vụ 7/2014 là moit.dubkill.com). Như vậy có thể thấy đây vẫn là một nhóm, âm thầm phát tán mã độc, tấn công người dùng internet Việt Nam trong gần một năm vừa qua. Phòng tránh như thế nào Điều đầu tiên, nếu bạn nhận được bất kỳ một email nào chứa tệp đính kèm thì đừng vội tải về tệp đó và đọc ngay. Hãy đọc online nếu có thể, khi biết chắc nội dung trong đó có gì và an toàn thì mới tải về máy tính dùng tra cứu offline. Tiếp đến, Bkav cũng khuyến cáo người dùng cần cập nhật bản Microsoft Office mới nhất. Đồng thời nên cập nhật phần mềm diệt virus của hệ thống thường xuyên để mau chóng nhận được những chức năng bổ sung giúp ngăn chặn loại mã độc này.
Email đáng ngờ chỉ có duy nhất một tệp văn bản đính kèm, không có nội dung.
Một ngày sau điều tra, tức ngày 6/6, kết quả phân tích của Bkav cho thấy, mã độc được điều khiển qua một domain từ Trung Quốc, sử dụng địa chỉ IP giả khiến việc giám sát mạng thông thường không thể phát hiện ra địa chỉ máy chủ thật của kẻ xấu. Tệp văn bản chứa mã độc, được điều khiển từ Trung QuốcTheo Bkav, đây là một loại mã độc RAT (Remote Access Trojan), mở cổng hậu trên thiết bị của nạn nhân và cho phép hacker truy cập điều khiển từ xa (Remote Access). Virus ẩn nấp trong file văn bản được điều khiển qua domain (tên miền) của một công ty Trung Quốc đăng ký. Hacker khai thác lỗ hổng CVE-2012-0158 của Microsoft Office để chèn mã độc vào tập tin văn bản. Người sử dụng sau khi tải, mở tập tin này, virus sẽ cài 3 thành phần độc hại vào hệ thống của thiết bị, bao gồm LMS.exe; dbghelp.dll và ticrf.rat.
1. LMS.exe: Đây là một file chuẩn của Google Chrome bị lợi dụng với mục đích load và thực thi code của virus. Khi người dùng bình thường sẽ khó có thể phát hiện ra được virus đang chạy trên máy vì nó được chạy ngầm trong chương trình LMS.exe chuẩn của Google.
2. dbghelp.dll: Đây là thư viện của virus có tên trùng với một thư viện của Google. Mục đích là khi file này đặt cùng thư mục với file "LMS.exe" thì sẽ được file "LMS.exe" tự động load và thực thi thư viện này. Mục đích của file này là sẽ đọc code virus chính trong file "ticrf.rat", giải mã và thực thi code.
3. ticrf.rat: Đây là file data có chứa toàn bộ mã độc chính của virus. File này được nén và mã hóa. Nhìn bình thường thì ta sẽ chỉ có thể biết đây là một file dữ liệu rác bình thường. Nhưng khi được file dbghelp.dll giải mã thì ta sẽ thấy toàn bộ các hành vi độc hại của virus được chứa trong file này. Rất khó để phát hiện ra điểm đến của kẻ gian
Khi được khởi chạy, virus sẽ kết nối tới C&C Server (máy chủ điều khiển) có địa chỉ "home.dubkill.com". Tên miền này được đăng ký bởi một công ty của Trung Quốc. Địa chỉ IP của máy chủ điều khiển được hacker che giấu bằng địa chỉ giả (127.0.01), khi nào cần điều khiển sẽ cập nhật địa chỉ IP chính xác của máy chủ điều khiển thông qua việc update bản ghi DNS, kỹ thuật này được sử dụng để tránh bị phát hiện bởi các công cụ phân tích mạng và cho phép hacker thay đổi địa chỉ IP máy chủ điều khiển tùy ý ở từng thời điểm. Với kỹ thuât này, việc giám sát mạng thông thường không thể phát hiện ra chính xác máy chủ điều khiển của hacker. Điều này chỉ có thể thực hiện khi đọc mã nguồn của virus. Nạn nhân sẽ bị ảnh hưởng những gì
Việc mở một cổng hậu nhận lệnh điều khiển từ xa cho phép hacker kiểm soát, chiếm quyền điều khiển máy tính của nạn nhân. Như vậy, tin tặc có thể thu thập dữ liệu, ghi các thao tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại… của máy tính nạn nhân.
Từng có tiền lệ trước đó
Qua phân tích, các chuyên gia của Bkav cho biết mã nguồn của virus này tương tự với virus "Biển đông" tháng 7/2014. Đồng thời máy chủ điều khiển cũng cùng thuộc tên miền dubkill.com (máy chủ điều khiển vụ 7/2014 là moit.dubkill.com). Như vậy có thể thấy đây vẫn là một nhóm, âm thầm phát tán mã độc, tấn công người dùng internet Việt Nam trong gần một năm vừa qua. Phòng tránh như thế nào Điều đầu tiên, nếu bạn nhận được bất kỳ một email nào chứa tệp đính kèm thì đừng vội tải về tệp đó và đọc ngay. Hãy đọc online nếu có thể, khi biết chắc nội dung trong đó có gì và an toàn thì mới tải về máy tính dùng tra cứu offline. Tiếp đến, Bkav cũng khuyến cáo người dùng cần cập nhật bản Microsoft Office mới nhất. Đồng thời nên cập nhật phần mềm diệt virus của hệ thống thường xuyên để mau chóng nhận được những chức năng bổ sung giúp ngăn chặn loại mã độc này.
Nguồn: Whitehat