Mã độc njRAT có khả năng đánh cắp tiền ảo

Linh Anh| 06/04/2018 17:13
Theo dõi ICTVietnam trên

Hãng bảo mật Zscaler cảnh báo đã phát hiện một phiên bản của mã độc truy cập từ xa njRAT có thể mã hóa các tập tin và đánh cắp tiền ảo từ ví tiền ảo.

Được biết đến như Bladabindi, njRAT đã xuất hiện ít nhất từ năm 2013 và là một trong họ phần mềm độc hại phổ biến nhất. Sẵn có trong .NET Framework, mã độc cung cấp cho tin tặc khả năng kiểm soát từ xa đối với những hệ thống bị nhiễm, sử dụng DNS động để điều khiển và ra lệnh (command-and-control - C&C) và sử dụng một giao thức TCP tùy chỉnh trên một cổng giao tiếp có thể cấu hình.

Được mệnh danh là njRAT Lime Edition, biến thể phần mềm độc hại mới hỗ trợ cả việc lây nhiễm ransomware, chiếm đoạt Bitcoin và tấn công từ chối dịch vụ (DDoS), đồng thời theo dõi thao tác bàn phím, lây lan qua các ổ USB, đánh cắp mật khẩu và khóa màn hình.

Phần mềm độc hại thu thập một danh sách các tiến trình đang chạy trên máy của nạn nhân và sử dụng nó để theo dõi các ví tiền ảo. Vì chúng là tiền tệ được lưu trữ dưới dạng số hóa và có thể kết nối với tài khoản ngân hàng, thẻ ghi nợ hoặc thẻ tín dụng của người dùng nên đã trở thành mối quan tâm của tin tặc.

Các nhà nghiên cứu của Zscaler cho biết, một khi hệ thống bị lây nhiễm, phần mềm độc hại kiểm tra các  máy ảo và sandbox (một kỹ thuật bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại). Nó cũng thu thập một lượng lớn thông tin hệ thống: Tên hệ thống, tên người dùng, cấu trúc và phiên bản windows, webcam, cửa sổ đang hoạt động, CPU, card video, bộ nhớ, thông tin về dung lượng, các phần mềm chống virus đã cài đặt và thời gian lây nhiễm.

Ngoài ra, mối đe dọa này còn giám sát hệ thống về những quy trình bảo mật cụ thể, cố gắng phá hoại chúng để tránh bị phát hiện.

Theo các nhà nghiên cứu bảo mật, phiên bản njRAT mới này có thể khởi chạy tấn công Slowloris DDoS và ARME. Công cụ Slowloris cho phép một máy đơn lẻ phá hủy một máy chủ chỉ với băng thông rất nhỏ trong khi cố gắng duy trì  các kết nối với máy chủ web mục tiêu. Tấn công ARME cũng gây cạn kiệt bộ nhớ máy chủ.

Khi nhận lệnh từ C&C, phần mềm độc hại có thể xóa cookie của Chrome và những thông tin đăng nhập đã lưu, tắt màn hình, sử dụng TextToSpeech (chuyển văn bản thành giọng nói) để thông báo văn bản nhận được từ C&C, khôi phục tính năng nhấn chuột thông thường, bật trình quản lý tác vụ, thay đổi hình nền, sử dụng phím từ cửa sổ trước, chia sẻ, tải các tập tin thông qua phần mềm torrent và bắt đầu tấn công Slowloris.

Nó cũng có thể thả xuống và hiển thị một thông báo tiền chuộc, khởi động lại máy tính, vô hiệu hóa dấu nhắc lệnh, xóa nhật ký sự kiện, dừng tiến trình giám sát Bitcoin, khởi động botkiller, gửi thông tin hệ thống (CPU/GPU/RAM), kiểm tra ví Bitcoin đã cài, gửi thông tin tới C&C và nạp một plugin  (thành phần mở rộng được cài đặt vào các phần mềm) và cấu hình nó cho máy chủ C&C.

njRAT cũng bao gồm khả năng lây lan giống như sâu (worm). Nó có thể giám sát hệ thống thông qua các cổng USB đã kết nối và có thể sao chép chính nó, trong khi cũng tạo ra một shortcut (nút tắt) để tự sử dụng biểu tượng thư mục.

Chức năng tống tiền của phần mềm độc hại sẽ mã hóa các tập tin người dùng và bổ sung thêm phần mở rộng .lime vào các tập tin này. Phần mềm độc hại sử dụng thuật toán đối xứng AES-256 để mã hóa, nghĩa là có thể sử dụng cùng một khóa để giải mã.

Zscaler giải thích: “Khi Lime được khởi chạy lần đầu tiên, nó sẽ gọi hàm RandomString(), nhằm cố gắng tạo ra một khóa AES. Nó tạo một chuỗi 50 byte từ chuỗi đầu vào sử dụng chỉ số ngẫu nhiên và sử dụng hàm random() để tìm nạp một ký tự và lưu nó vào chuỗi đầu ra”.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Thủ tướng Phạm Minh Chính trao quyết định điều động, bổ nhiệm Tổng Giám đốc VTV
    Chiều 2/11, Thủ tướng Chính phủ Phạm Minh Chính đã trao quyết định điều động, bổ nhiệm Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Thanh Lâm giữ chức Tổng Giám đốc Đài Truyền hình Việt Nam (VTV). Cùng dự lãnh đạo các ban, bộ, ngành Trung ương và VTV.
  • Tạo "hệ sinh thái" KOL trẻ vì cộng đồng
    Sau hành trình của Đội tuyển bóng đá U23 Việt Nam năm 2018, vượt ra ngoài khuôn khổ trận đấu, mỗi cầu thủ sau khi trở về đều trở thành niềm tự hào của quê hương, đồng thời truyền cảm hứng, nối ước mơ cho thế hệ trẻ. Cùng công thức ấy, liệu có thể áp dụng cho lĩnh vực chính trị-xã hội?
  • Chiến lược "4 Mới" - chìa khóa then chốt để khai phóng giá trị kinh doanh của nhà mạng
    Trước làn sóng chuyển đổi số thông minh, chiến lược "4 Mới" không chỉ đại diện cho nỗ lực đổi mới công nghệ mạng, mà còn là động lực quan trọng để không ngừng khai phóng giá trị kinh doanh của mạng.
  • Bưu điện ra quân vận động 150.000 người tham gia BHXH
    Phát huy khí thế của ngày ra quân, các Bưu điện trung tâm trên địa bàn TP. Hồ Chí Minh quyết tâm hoàn thành mục tiêu, phấn đấu đến 31/12/2024 đạt được 15.000 người tham gia bảo hiểm xã hội tự nguyện và 900.000 người tham gia bảo hiểm y tế hộ gia đình.
  • ‏YouTube Shopping Affiliate ra mắt tại Việt Nam
    Ngày 2/11, YouTube chính thức ra mắt chương trình YouTube Shopping Affiliate tại Việt Nam, mở đầu hợp tác cùng Shopee. Chương trình này sẽ góp phần nâng cao trải nghiệm mua sắm và thúc đẩy tăng trưởng kinh tế số tại Việt Nam.
Đừng bỏ lỡ
Mã độc njRAT có khả năng đánh cắp tiền ảo
POWERED BY ONECMS - A PRODUCT OF NEKO