Trojan giấu mã độc trong ảnh PNG
Diễn đàn - Ngày đăng : 09:47, 28/03/2016
Phần mềmđộc hại được phát tán qua email thông qua một tập tin PDF kết nối với một tậptin .zip có chứa hình ảnh có mã độc cùng với một số tập tin khác. Kiểu tấn côngnày không phải là mới, nó cũng tương tự như các cuộc tấn công trước đây mà bọntội phạm mạng phát tán các tập tin .exe hoặc .zip chứa trong một tập tin cóphần mở rộng là .pdf.
Cách thứcphán tán của loại Trojan này cũng tương tự như vậy, nhưng trong kịch bản mớinày chúng có những cách thức mới để đảm bảo không bị các sản phẩm chống virutphát hiện. Theo nhà bảo mật Thiago Marques của Kaspersky, những kẻ tấn công đãtiến xa hơn những cuộc tấn công lừa đảo thông thường trước đây, chúng che dấucác payload độc hại (đoạn mã độc chạytrên máy nạn nhân) trong các tập tin mã hóa dưới một định dạng tập tin quenthuộc để tránh sự nghi ngờ của người dùng.
Cụthể trong trường hợp này, các nhà nghiên cứu Kaspersky phát hiện ra rằng, tậptin PDF mà Trojnan sử dụng được viết bằng ngôn ngữ HTML và được dùng để tìm URLcủa các công cụ được sử dụng. Họ còn quan sát được liên kết độc hại trong một tậptin dụ người dùng tải về một file JAR, một tập tin ZIP có chứa các file khác.
Khiphân tích nội dung của tập tin .zip này, các nhà nghiên cứu còn thấy trong sốcác tập tin bên trong thì có 3 tập tin không có phần mở rộng, bao gồm cả một tậptin PNG. Tập tin PNG này là một ảnh màu 63x48 pixel, kích thước 1.33 MB.
Ngoàira, các nhà nghiên cứu còn nhận dạng được tính năng tải những tập tin PNG vào bộnhớ và thấy rằng nó cũng giải mã và thực hiện rút trích nhị phân dựa trên kỹthuật RunPE. Tuy nhiên, mã độc được thực thi trong ngữ cảnh của một tiến trìnhkhác, cụ thể trong trường hợp này là trong tiến trình của iexplore.exe đểgây khó khăn trong việc phát hiện.
Phântích sâu hơn nữa,các nhà nghiên cứu thấy rằng ảnh PNG chỉ có kích thước 179 bytevà nội dung khác trong tập tin này đã bị mã độc mã hóa.
Tuynhiên, Marques nói rằng payload độc hại lưu trữ trong ảnh PNG không thể thựcthi nếu không được khởi động. Còn với loại mã độc thường xuyên phát tán tới hộpthư của nạn nhân thì được cài đặt bằng một module khác để che dấu mã độc trongcác hình ảnh một cách hiệu quả hơn nhằm tránh bị phát hiện tự động và gây khókhăn hơn trong việc phân tích.
Các nhà nghiên cứu tại Kaspersky Lap cũng lưu ý ngườidùng về 5 tập tin có liên kết với loại tấn công này là:Trojan.Win32.KillAv.ovo, HEUR:Trojan.Win32.Generic,Trojan-Downloader.Win32.Banload.cxmj, Trojan-Downloader.Win32.Agent.hgpf, vàHEUR:Trojan-Downloader.Java.Generic.
Các nhà nghiên cứu lưu ý rằng, thời gian gần đây, mối đedọa này xuất hiện trong các cuộc tấn công Brazilian và đang ngày càng phát triểnvới những diễn biến ngày càng phức tạp hơn. Còn theo một báo cáo mới đây củahãng bảo mật Proofpoint, nhưng kẻ tấn công đang coi con người giống như nguồnkhai thác tốt nhất và người dùng cần chú ý hơn khi mở email hoặc file đính kèmnhận mà không rõ nguồn gốc.
Theo securityweek.com