Botnet Dridex lây lan mã độc tống tiền Locky thông qua tập tin JavaScript

HG| 15/03/2016 10:44
Theo dõi ICTVietnam trên

Các nhà nghiên cứu tại Trustwave cảnh báo, tin tặc khai thác botnet Dridex đã thay đổi chiến thuật phát tán trong các chiến dịch thư rác (spam) cũng như những đoạn mã chạy trên hệ thống máy tính từ xa (payload) để phát tán loại mã độc tống tiền Locky.

Hãngbảo mật đã theo dõi một chiến dịch thư rác quy mô lớn với hơn 4 triệu thư rác (spam)độc hại, lượng phần mềm độc hại chiếm 18% tổng số spam đã được phát hiện. Theo mộtbài đăng trên blog của Rodel Mendrez (thuộc Trustwave) trong thời gian mới đây,chiến dịch này không liên tục, nhưng có sự bùng phát cao độ, với đỉnh điểm là200 nghìn email “đánh” vào các máy chủ trong 1 giờ.

 Mặcdù spam cùng đến từ botnet được sử dụng để lây lan Dridex thông qua những tài liệu vớimacro độc hại, nhưng kỹ thuật phát tán đã bị thay đổi để sử dụng các tập tin JavaScript(.js) đính kèm. Hơn nữa, bọn tội phạm mạng đã thay đổi phần mềm mà chúng sử dụng,hiện nay là phần mềm tống tiền Locky. Dridex và Locky có mối liên hệ với nhau và cùng phương thức tấn công, cả hai đều chuyển sang sử dụng lệnh tạo biểu mẫu đối tượng trongtập lệnh (macro) để che giấu các mã độc của chúng.

Khiđã cài đặt trên máy tính mục tiêu, Locky báo cáo lại thông tin trên các hệ thốngbị nhiễm, sau đó bắt đầu mã hóa các tập tin có phần mở rộng nào đó, bao gồm cảnhững tập tin không chia sẻ trên mạng. Nó đổi tên những tập tin đã mã hóa với mộttên ngẫu nhiên và sử dụng .locky như phần mở rộng rồi đưa ra thông báo tiền chuộctrong các thư mục đã mã hóa và trên màn hình.

 Mỗinạn nhân của Locky được hướng tới một trang web duy nhất chỉ có thể truy nhập đượcthông qua trình duyệt ẩn danh Tor. Trên trang này, nạn nhân nhận được thông tinthanh toán loại tiền bitcoin cùng với các chi tiết về cách để họ có được công cụgiải mã.

 Đầutháng 2 vừa qua, các nhà nghiên cứu tại FireYea đã phát hiện ra rằng, tội phạmmạng phía sau botnet Dridex đã đẩy mạnh hoạt động của chúng chỉ trong một kỳnghỉ ngắn. Trong tháng 1, các nhà nghiên cứu của IBM X-Force cũng đã phát hiệnra biến thể của Dridex mới đã sử dụng kiểu tấn công của Dyre Trojan (đã ngừnghoạt động từ tháng 11/2015).

 Theomột báo cáo gần đây của Fortinet, mặc dù mối đe dọa xuất hiện vào giữa tháng 2,nhưng Locky chỉ mất 2 tuần để trở thành nhóm mã độc tống tiền (ransomware) đứngthứ 2 trong bảng xếp hạng, chiếm 16,47% tổng số ransomware. CryptoWall vẫn còn làmối đe dọa hàng đầu với 83,45% của tổng số 18,6 triệu tấn công được Fortinet thuthập từ 3 loại ransomware lớn trong thời gian từ 17/2/2016 - 2/3/2016.

Theosecurityweek.com

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Botnet Dridex lây lan mã độc tống tiền Locky thông qua tập tin JavaScript
POWERED BY ONECMS - A PRODUCT OF NEKO