Thêm loại virut mới vào sản phẩm của Microsoft Silverlight

Diễn đàn - Ngày đăng : 05:00, 26/02/2016

Thứ B vừa qua, nhà nghiên cứu bảo mật người Pháp “Kafeine” cho biết đã có thêm loại virut Angler exploit kit khai thác lỗ hổng đã được vá mới đây của Microsoft Silverlight.

Ngày18/2/2016 Kafeine cho biết rằng nhóm tin tặc xây dựng hệ thống mã độc Angler đãbổ sung mã vào tính năng tích hợp của công cụ khai thác Silverligt (Silverlightexploit). Vào thứ Hai vừa qua, chuyên gia này thấy rằng tính năng tích hợp của Silverligt đã bị nhiễm mã độc và lỗ hổng mà tin tặckhai thác là CVE-2016-0034 - đã được Microsoft vá vào tháng 1/2016 với việc đưara bản tin bảo mật MS16-006. Điều này đã được xác nhận từ chuyên gia phân tíchphần mềm độc hại Anton Ivanovcủa Kaspersky và nhiều người khác.

Trongmột thử nghiệm được thực hiện bởi Kafeine, Silverlight exploit đã phát tán biếnthể của phần mềm độc hại TeslaCrypt. Nhà nghiên cứu thấy rằng kẻ tấn công khôngthể hoạt động nếu phiên bản được Microsoft đưa ra để vá lỗ hổng là Silverlight 5.1.41212.0, được cài đặt trên hệ thống.

Từcuối tháng 11/2015, các nhà nghiên cứu tại Kaspersky đã phát hiện ra lỗ hổngtrên Silverlight dựa trên công cụ YARA được thiết kế để phát hiện một khai thácmà tin tặc người Nga đã cung cấp cho công ty phần mềm gián điệp Hacking Team của Ý vào năm 2013.

Năm2013, một người Nga là Vitaliy Toropov đã đề nghị cung cấp cho Hacking Team công cụ khai thác Silverlight. Tháng 7/2015, hàng trăm gigabytes dữ liệu của HackingTeam đã bị lộ bởi một kẻ tấn công, bao gồm cả những email trao đổi giữa công tyvới khách hàng để bán các bộ khai thác.

Khi mà còn chưa rõ là liệu Hacking Team thực sự đã có được công cụ khai thác Siverlight từ Toropov, thì các nhà nghiên cứu của Kaspersky đã tạo ra công cụ YARA dựa trên mã công khai củatin tặc người Nga trong một nỗ lực lần theo dáu vết bản mà hắn đã thử bán cho một công ty của Ý. Quy tắc YARA đã giúp các chuyên gia phát hiện ra cùng một mẫu trên máy của ngườidùng và trên các dịch vụ multiscanner. Một nhà phân tích đã tiết lộ rằng nó là mộtSilverlight exploit mới.

Điều này không có gì bất thường vì nhóm tin tặc phát triển Angler,bổ sung các exploits đối với các lỗ hổng được vá váo ngay bộ "sưu tập" của chúng, và trong nhiều trường hợp chúng cũng chỉ mấtvài ngày để thực hiện công việc đó. Ví dụ, trongFlash Player,exploit ở lỗ hổng tràn bộ đệm (CVE-2015-8446) được vá bởi Adobe vào ngày8/12, thì nnày 14/12 đã được “bổ sung” vào Angler. Kết quả báo cáo từMalwarebytes cho biết expoits đã phát tán loại mã độc ransomware TeslaCrypt.

s Theo securityweek.com  

HG