These are all contents from amtech.vn - Giải đáp thắc mắc về công nghệ tagged lây nhiễm.
Cách đây 2 ngày, Windows Defender bất ngờ phát hiện ra hơn 80.000 trường hợp của một số biến thể Dofoil. Tuy nhiên Microsoft đã chặn đứng thành công phần mềm độc hại khai thác tiền ảo lây nhiễm hơn 500.000 máy tính chỉ trong vài giờ. Dubbed Dofoil, hay còn gọi là Smoke Loader là phần mềm độc hại phá hủy chương trình khai thác tiền ảo trên các máy tính Windows bị nhiễm và cho phép kẻ tấn công sử dụng CPU của nạn nhân. [img] Phần mềm độc hại khai thác tiền ảo lây nhiễm hơn 500.000 máy tính chỉ trong vài giờ. Vào hôm 6/3 vừa qua, Windows Defender bất ngờ phát hiện ra hơn 80.000 trường hợp của một số biến thể Dofoil, con số tăng báo động và chỉ trong 12 giờ tiếp theo, đã có hơn 400.000 trường hợp được ghi lại. Nhóm nghiên cứu phát hiện tất cả các trường hợp này lây lan nhanh chóng ở các quốc gia bao gồm Nga, Thổ Nhĩ Kỳ và Ukraine, nó giả mạo dưới dạng một nhị phân Windows hợp lệ để tránh không bị phát hiện. Dofoil sử dụng ứng dụng khai thác tùy biến, có thể khai thác các loại tiền ảo khác nhau, nhưng trong chiến dịch này phần mềm độc hại được lập trình chỉ khai thác tiền ảo Electroneum. Khi mà thị trường tiền ảo tăng nhanh, có hàng nghìn sàn giao dịch tiền ảo được lập ra để đáp ứng nhu cầu của người chơi, thì các mối nguy hiểm theo đó mà tăng cao, nếu bạn cũng đầu tư vào loại tiền ảo nào đó, hãy chọn cho mình sàn giao dịch tiền ảo uy tín nhất nhé. [img] Theo các nhà nghiên cứu, trojan Dofoil sử dụng kỹ thuật chèn mã cũ được gọi là "process hollowing", nó tạo ra trường hợp mới của một process hợp lệ với mã độc hại để chạy mã thứ 2 chứ không phải mã nguồn ban đầu và để đánh lừa các công cụ giám sát process tin rằng process ban đầu đang chạy. "Sau đó process hollowed explorer.exe quay lại trường hợp 2, loại bỏ và chạy phần mềm độc hại khai thác tiền ảo giả mạo dưới dạng một nhị phân Windows hợp lệ, wuauclt.exe". Để có thể ẩn mình trên hệ thống bị nhiễm trong một khoảng thời gian dài như vậy để khai thác tiền ảo Electroneum bằng tài nguyên máy tính của nạn nhân, trojan Dofoil sẽ tiến hành chỉnh sửa registry Windows. "Process hollowed explorer.exe tạo một bản sao phần mềm độc hại ban đầu trong thư mục AppData Roaming và đổi tên nó thành ditereah.exe", các nhà nghiên cứu cho biết. " Sau đó nó tạo một key registry hoặc chỉnh sửa key registry hiện có để trỏ tới bản sao phần mềm độc hại vừa được tạo. Trong mẫu mà chúng tôi phân tích, phần mềm độc hại đã chỉnh sửa key OneDrive Run". Dofoil cũng kết nối từ xa đến máy chủ C&C (Command & Control) trên cơ sở hạ tầng mạng Namecoin và nghe các lệnh mới, bao gồm cài đặt phần mềm độc hại bổ sung. Microsoft cho biết theo dõi hành vi và các kỹ thuật machine learning dựa trên trí tuệ nhân tạo (AI) đóng vai trò quan trọng trong việc phát hiện và chặn đứng chiến dịch phát tán phần mềm độc hại khai thác tiền ảo lây nhiễm hơn 500.000 máy tính chỉ trong vài giờ này. Để tự bảo vệ cho thiết bị của mình, người dùng nên tải và cài đặt một phần mềm diệt virus an toàn hiện nay, có thể kể tới một số phần mềm diệt virus như BKAV hay KIS chẳng hạn. Nguồn: Taimienphi
Các nhà nghiên cứu bảo mật vừa khám phá ra một chiến dịch lây nhiễm lên các website chạy WordPress, giúp hacker đào tiền mã hóa và ghi lại các thao tác trên bàn phím. [img] Một chiến dịch lây nhiễm lên các website chạy WordPress vừa bị phát hiện. Ảnh chụp màn hình. Theo TheHackerNews, các website bị lây nhiễm đoạn mã độc hại khiến cho các trình duyệt truy cập vào sẽ đào tiền mã hóa tại CoinHive, đoạn mã này cũng sẽ ghi lại thao tác trên bàn phím của người dùng. CoinHive là một dịch vụ trình duyệt nổi tiếng cung cấp cho các chủ trang web gắn đoạn mã JavaScript để tận dụng CPU từ người truy cập để có thể khai thác đồng tiền mã hóa monero. Người đứng sau chiến dịch này được cho là cùng một người đã lây nhiễm cho 5.400 website dùng WordPress hồi tháng trước bằng malware đào tiền mã hóa và ghi lại bàn phím có tên cloudflare[.]solutions. Nếu website WordPress là một nền tảng thương mại điện tử, kẻ tấn công có thể thu thập nhiều thông tin giá trị như tài khoản thanh toán trực tuyến. Tên miền cloudflare[.]solutions (giả danh dịch vụ Cloud Flare) đã bị hạ xuống hồi tháng trước, nhưng tội phạm sau chiến dịch này tiếp tục đăng ký 2 tên miền mới để điều khiển các đoạn mã độc hại nằm trên các website dùng WordPress. Các nhà nghiên cứu cho biết chủ các trang web dùng WordPress nên tự kiểm tra trong tập tin fucntions.php của themes, đồng thời dò wp-posts để tìm đoạn mã độc hại. Cuối cùng cách tốt nhất là đổi toàn bộ mật khẩu WordPress và cập nhật phiên bản mới nhất của themes và plugins. Nguồn: Thanh Niên
