Một loại virus mới sẽ lựa chọn xem máy tính của bạn phù hợp cho ransomware hay đào tiền ảo

06/07/2018

Các nhà nghiên cứu bảo mật đã phát hiện ra một malware ‘thú vị”, nó sẽ quyết định lây nhiễm ransomware hoặc mã độc đào tiền ảo tùy thuộc vào việc kế hoạch nào có thể mang lại nhiều lợi nhuận hơn.

Như chúng ta đã biết, ransomware là một loại phần mềm độc hại sẽ khóa máy tính của bạn và ngăn bạn truy cập vào dữ liệu được mã hóa cho đến khi trả tiền chuộc. Tấn công khai thác tiền ảo (cryptocurrency miners) là việc sử dụng sức mạnh CPU của hệ thống bị nhiễm để khai thác các loại tiền kỹ thuật số.

Cả hai cuộc tấn công ransomware và tấn công khai thác tiền ảo đều là những mối đe dọa hàng đầu trong năm nay, chúng có nhiều điểm tương đồng là đều không quá phức tạp, lợi dụng kiếm tiền mà không nhắm tới mục tiêu cụ thể và đều liên quan đến tiền kỹ thuật số.

Tuy nhiên, đôi khi khóa máy tính để đòi tiền chuộc không phải lúc nào cũng mang lại hiệu quả cao trong trường hợp nạn nhân không có gì để mất, trong những tháng qua, tội phạm mạng đã chuyển hướng sang khai thác tiền điện tử gian lận như một phương pháp kiếm tiền bằng máy tính của nạn nhân.

Các nhà nghiên cứu đã phát hiện ra một biến thể mới của họ ransomware Rakhni, hiện đã được nâng cấp để bao gồm khả năng khai thác tiền điện tử.
adobe-malware.png
Được viết bằng ngôn ngữ lập trình Delphi, phần mềm độc hại Rakhni đang được lan truyền bằng cách sử dụng các email lừa đảo có chứa tệp MS word trong tệp đính kèm, nếu được mở, sẽ nhắc nạn nhân lưu tài liệu và bật chỉnh sửa.

Tài liệu bao gồm biểu tượng PDF, nếu được nhấp, khởi chạy tệp thực thi độc hại trên máy tính của nạn nhân và ngay lập tức hiển thị hộp thông báo lỗi giả khi thực thi, lừa nạn nhân nghĩ rằng tệp hệ thống cần thiết để mở tài liệu bị thiếu.

Cách Malware quyết định việc cần phải làm với máy tính của nạn nhân

Tuy nhiên, trong background, malware sau đó thực hiện nhiều kiểm tra chống VM và chống Sandbox để quyết định xem nó có thể lây nhiễm sang hệ thống mà không bị phát hiện hay không. Nếu tất cả các điều kiện được đáp ứng, phần mềm sẽ thực hiện nhiều kiểm tra hơn để quyết định payload cuối cùng, tức là ransomware hoặc minner.

Cài đặt Ransomware — nếu hệ thống đích có thư mục ‘Bitcoin’ trong phần AppData. Trước khi mã hóa các tệp bằng thuật toán mã hóa RSSA-1024, malware chậm dứt tất cả các quy trình với danh sách các ứng dụng phổ biến được xác định trước và sau đó hiển thị ghi chú tiền chuộc thông qua tệp văn bản.
Cài đặt trình khai thác tiền điện tử — nếu thư mục ‘Bitcoin’ không tồn tại và máy có nhiều hơn hai bộ xử lý logic. Nếu hệ thống bị nhiễm một ‘thợ mỏ đảo tiền ảo’, nó sử dụng MinerGate để khai thác các loai tiền ảo như Monero (XMR), Monero Original (XMO) và Dashcoin (DSH) trong background. Bên cạnh đó, phần mềm độc hại sử dụng tiện ích CertMgr.exe để cài đặt root certificates giả mạo đã được Microsoft Corporation và Adobe Systems Incorporated phát hành nhằm cố gắng ngụy trang miner như một quy trình đáng tin cậy.
Kích hoạt thành phần worm — nếu không có thư mục ‘Bitcoin’ và chỉ là một bộ xử lý logic. Thành phần này giúp phần mềm độc hại tự sao chép vào tất cả các máy tính nằm trong mạng cục bộ bằng tài nguyên được chia sẻ. “Đối với mỗi máy tính được liệt kê trong tệp, Trojan sẽ kiểm tra xem thư mục Người dùng có được chia sẻ hay không, nếu có, bản sao phần mềm độc hại sẽ tự nó vào thư mục \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup của mỗi người dùng có thể truy cập, ” các nhà nghiên cứu lưu ý.
fake-root-certificates.png
Bất kể mã độc  nào được chọn, malware sẽ thực hiện kiểm tra nếu một trong các quy trình chống vi-rút được liệt kê được khởi chạy. Nếu không tìm thấy quá trình AV trong hệ thống, phần mềm độc hại sẽ chạy một số lệnh cmd trong nỗ lực vô hiệu hóa Windows Defender.

What’s more? Tính năng spyware?

“Một điều thú vị nữa là phần mềm độc hại cũng có một số chức năng của spyware như báo cáo các chương trình đang chạy và tệp đính kèm, cùng với ảnh chụp màn hình”, các nhà nghiên cứu cho biết.

Biến thể phần mềm độc hại này nhắm mục tiêu người dùng chủ yếu ở Nga (95,5%), Kazakhstan (1,36%), Ukraine (0,57%), Đức (0,49%) và Ấn Độ (0,41%) .

Cách tốt nhất để ngăn bạn không trở thành nạn nhân của các cuộc tấn công như vậy là không bao giờ mở các tệp và các liên kết đáng ngờ được cung cấp trong email. Ngoài ra, luôn luôn giữ một thói quen sao lưu và cập nhật phần mềm chống virus tại chỗ.
Trích ( Phòng Nghiệp Vụ )