Một nghiên cứu được thực hiện bởi công ty an ninh mạng ThreatFainst cho thấy nhiều ứng dụng (app) có chứa mã độc tồn tại trên cửa hàng ứng dụng dành cho thiết bị di dộng (CH Play) có thể đánh cắp thông tin tài khoản ngân hàng của người dùng.

Nhiều ứng dụng điện thoại chứa mã độc đánh cắp tài khoản ngân hàng

Theo các chuyên gia bảo mật tại ThreatFainst, những mã độc này thuộc loại “trojan droppers”. Vì thế, hệ thống quét virus của CH Play đã không thể phát hiện ra chúng. Những mã độc này được ngụy trang thành một số loại phần mềm như ứng dụng quét mã QR, ứng dụng đọc tập tin PDF hay ví tiền điện tử. Ước tính, có hơn 300.000 thiết bị đã bị ảnh hưởng bởi các mã độc này.

Nếu cài đặt các app này trên điện thoại di động, thì những mã độc có thể lấy cắp mật khẩu ngân hàng hoặc mã xác thực của nạn nhân. Chúng thậm chí còn ghi lại thao tác từ bàn phím và âm thầm chụp ảnh màn hình thiết bị.

Chẳng hạn một số ứng dụng bị điểm mặt như QR CreatorScanner (com.ready.qrscanner.mix); QR Scanner (com.qr.barqr.scangen); PDF Document Scanner – Scan to PDF (com.xaviermuches.docscannerpro2); PDF Document Scanner (com.docscanverifier.mobile); Gym and Fitness Trainer (gesture.enlist.say)…

Trước đó, công ty phần mềm an ninh mạng Avast cũng đưa ra cảnh báo về một chiến dịch lừa đảo có tên UltimaSMS. Chiến dịch này bao gồm 151 ứng dụng lừa đảo, tấn công vào các smartphone sử dụng hệ điều hành Android. Những ứng dụng này đã ngụy trang thành các phần mềm như trình chỉnh sửa ảnh, bộ lọc máy ảnh, trò chơi hoặc công cụ quét mã QR. Những ứng dụng này sẽ tự động đăng ký các dịch vụ SMS với chi phí đắt đỏ…

Nghiên cứu bảo mật của Kaspersky mới đây cũng chỉ ra rằng năm 2022 thiết bị di động là mục tiêu của các cuộc tấn công tinh vi, trên diện rộng. Thiết bị di động luôn là đối tượng hấp dẫn đối với những kẻ tấn công, khi điện thoại thông minh luôn đi cùng chủ nhân của chúng mọi lúc mọi nơi, và mỗi mục tiêu tiềm năng hoạt động như một kho lưu trữ một lượng lớn thông tin có giá trị. Thời gian qua, các vụ lừa đảo cũng diễn ra phổ biến liên quan đến smartphone như tin nhắn SMS hay tin nhắn qua OTT các đường link chứa mã độc…

Nguồn Thanh Niên

Theo báo cáo của Check Point, hơn 1700 tên miền ‘Zoom’ mới đã được đăng ký kể từ khi xảy ra đại dịch COVID-19, 25% tên miền trong số đó được đăng ký chỉ trong bảy ngày qua.

Với trên 74.000 khách hàng và 13 triệu người dùng hoạt động hàng tháng, ‘Zoom’ là một trong những phần mềm giao tiếp dành doanh nghiệp nền tảng đám mây phổ biến nhất hiện nay. Zoom cung cấp các tính năng như nhắn tin, họp video và audio cùng các tùy chọn tổ chức hội thảo và các cuộc họp trực tuyến.

Sự phổ biến của ‘Zoom’ đã tăng lên đáng kể trong những tuần gần đây khi hàng triệu sinh viên, doanh nhân và thậm chí cả nhân viên làm việc cho chính phủ trên khắp thế giới buộc phải làm việc và giao tiếp tại nhà do đại dịch virus corona.

Thống kê đăng ký mới của tên miền “Zoom”

Kẻ xấu nhằm trục lợi đã tìm ra cách thu lời từ mối quan tâm tới sức khỏe của toàn cầu để thực hiện hàng loạt các cuộc tấn công bằng phần mềm độc hại, chiến dịch tạo ra các trang web lừa đảo và ứng dụng theo dõi độc hại.

Bên cạnh đó, các nhà nghiên cứu cho biết họ đã phát hiện các tệp độc hại với tên “zoom-us-zoom-##########.exe”. Tệp này một khi được thực thi có thể cài đặt các chương trình không mong muốn (PUPs) như InstallCore – một ứng dụng để cài đặt các phần mềm độc hại khác.

Nhưng ‘Zoom’ không phải mục tiêu duy nhất của hacker. Khi các trường học chuyển sang nền tảng học tập trực tuyến để đảm bảo an toàn, sức khỏe cho sinh viên, các nhà nghiên cứu của Check Point đã phát hiện ra các trang web lừa đảo giả mạo Google Classroom (googleclassroom\.com hoặc googieclassroom\.com) để lừa người dùng tải xuống phần mềm độc hại.

Zoom khắc phục sự cố bảo mật trên ứng dụng IOS

Về phần mình, Zoom cũng có một số vấn đề về quyền riêng tư và bảo mật. Năm ngoái, ứng dụng này đã phải khắc phục lỗi có thể cho phép trang web chiếm quyền điều khiển webcam và ép buộc người dùng tham gia vào cuộc gọi trên Zoom.

Sau đó vào đầu tháng 1, công ty này đã vá một lỗ hổng khác có thể cho phép kẻ tấn công đoán được ID cuộc họp và tham gia cuộc họp đó, dẫn đến khả năng bị lộ lọt thông tin tài liệu riêng tư. Sau đó, Zoom đã bổ sung tính năng đặt mật khẩu cho mỗi cuộc họp cho những người muốn tham gia.

Hay mới đây, Zoom đã phải cập nhật ứng dụng trên iOS sau khi thông tin thiết bị gửi tới Facebook bằng bộ công cụ phát triển phần mềm (SDK) của mạng xã hội Facebook. Điều này làm dấy lên mỗi lo ngại về việc chia sẻ dữ liệu trong chính sách riêng tư của hãng.

Từ những vụ việc kể trên, tổ chức Electronic Frontier Foundation (EFF) cho biết máy chủ các cuộc gọi trên Zoom có thể biết được người tham gia có bật video trên Zoom hay không nhằm theo dõi họ. Quản trị viên cũng có thể xem địa chỉ IP, dữ liệu vị trí và thông tin thiết bị của từng người tham gia.

Để đảm bảo an toàn, người dụng cần cập nhật ứng dụng thường xuyên và cảnh giác với các email từ những người gửi không xác định và các tên miền có tên gần giống tên miền thật nhưng có lỗi về chính tả.

Bên cạnh đó, người dùng được khuyến cáo không nên mở những tệp tin lạ hay nhấp chuột vào các đường link quảng cáo trong email để tránh mắc bẫy của hacker.

Nguồn whitehat.vn

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Ngày 16/2, Công an Hà Nội cho hay qua nắm tình hình, các đơn vị nghiệp vụ đã phát hiện việc hacker phát tán mã độc ẩn dưới các tập tài liệu liên quan virus corona.

Các mã độc cho phép tin tặc sao chép dữ liệu của người khác để chỉnh sửa, làm hư hại hoặc thậm chí can thiệp vào hoạt động máy tính, mạng máy tính của người dùng.

Mã độc ngụy trang về tài liệu virus corona

Các chuyên gia dự đoán số lượng mã độc được phát tán dựa trên thông tin về virus corona ngày càng tăng cao do thông tin về loại virus này đang được quan tâm.

Hacker sử dụng thông tin về virus corona làm mồi nhử để thực hiện hành vi phạm tội, phát tán mã độc dưới dạng tên như: Worm.VBS.Dinihou.r; Worm.Python.Agent.; UDS:DangerousObject.Multi.Generic; Trojan.WinLNK.Agent.gg; Trojan.WinLNK.Agent.ew; HEUR:Trojan.WinLNK.Agent.gen; HEUR:Trojan.PDF.Badur.b.

Công an Hà Nội khuyến cáo người dùng máy tính tránh truy cập các địa chỉ nghi liên quan tới virus corona, trừ các thông tin chính thống được đăng tải.

Trường hợp nhận được tập tin đính kèm, cần cảnh giác với những tài liệu và tệp video có định dạng “.exe” hoặc “.lnk”. Ngoài ra, người dùng nên chủ động tự bảo vệ máy tính khỏi mã độc.

Nguồn whitehat.vn

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Malwarebytes, một nhà phát triển phần mềm antivirus đã đưa ra báo cáo này. Báo cáo cho thấy, số lượng những mối đe dọa nhắm vào Mac đã tăng hơn 400% so với cùng kỳ năm trước.

Số lượng mã độc trên Mac ngày càng tăng

Theo Malwarebytes, sự gia tăng đáng kể này có thể là do thị phần của Mac tăng lên. Kẻ xấu sẽ nhắm vào máy tính của Apple nhiều hơn khi ngày càng có nhiều người sử dụng. Báo cáo còn nhấn mạnh rằng, macOS với những tính năng bảo mật của nó vẫn chưa đủ mạnh để chống lại adware (phần mềm quảng cáo) và malware.

Theo bản báo cáo, khác với PC các mối đe dọa trên Mac chủ yếu là adware và PUP. Với adware, đứng đầu bảng là NewTab, một dòng adware thường phát tán thông qua các website theo dõi chuyến bay, bản đồ… có khả năng tái điều hướng các từ khóa tìm kiếm trên trình duyệt nhằm kiếm tiền bất chính. Còn PUP, thường là các ứng dụng “dọn dẹp hệ thống” như MacKeeper và MacBooster.

Adware và PUP được xem là ít nguy hiểm hơn so với malware truyền thống nhưng mối nguy hiểm ngày càng gia tăng khi số lượng các loại phần mềm độc hại này ngày càng tăng.

Chính xác thì máy tính Apple chưa bao giờ miễn nhiễm với malware, vì vậy người dùng cần phải cân nhắc vấn đề bảo mật một cách nghiêm túc hơn!

Nguồn quantrimang.com

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Ako bị phát hiện lần đầu khi một nạn nhân đăng tải thông tin về trường hợp lây nhiễm mà anh ta gặp phải trên diễn đàn bảo mật Bleeping Computer. Các chuyên gia sau đó đã tiến hành phân tích mã độc và phát hiện ra rằng đó là chủng ransomware mới, với đặc tính cực kỳ nguy hiểm: Nhắm mục tiêu đến toàn bộ hệ thống mạng thay vì chỉ các máy trạm riêng lẻ như thông thường.

Một số đặc điểm quan trong về chủng mã độc này đã được Bleeping Computer đúc kết lại như sau:

• Ako chủ yếu ảnh hưởng đến các hệ thống máy tính đơn lẻ chạy Windows 10 và máy chủ chạy Windows SBS 2011.
• Chứa nhiều điểm tương đồng với một chủng ransomware nguy hiểm khác: MedusaLocker – nhưng 2 loại mã độc ngày không phải là sản phẩm từ cùng một nguồn độc hại ẩn danh.
• Nhắm mục tiêu đến toàn bộ hệ thống mạng thay vì chỉ các máy trạm riêng lẻ như nhiều chủng mã độc khác.

Cách thức hoạt động của Ako

Phương thức tấn công của chủng mã độc này tương đối tinh vi:

• Sau khi lây nhiễm thành công, đầu tiên Ako sẽ lập tức xóa các bản sao tệp cũng như các bản sao lưu gần đây trên hệ thống.
• Tiếp theo, mã độc sẽ vô hiệu hóa môi trường phục hồi Windows trước khi bắt đầu mã hóa dữ liệu.
• Trong khi mã hóa, Ako sẽ gán thêm một phần đuôi mở rộng được tạo ngẫu nhiên vào các tệp, đồng thời bổ sung chuỗi mã đánh dấu “CECAEFBE” vào các tệp đã bị mã hóa thành công để ransomware có thể xác định chúng.
• Trong quá trình mã hóa, Ako sẽ bỏ qua các tệp có đuôi mở rộng .exe, .sys, dll, .ini, .key, .lnk và .rdp.
• Tiếp theo, mã độc sẽ kiểm tra các thiết bị khác đang kết nối trong hệ thống mạng để hoàn tất quá trình mã hóa.
• Cuối cùng, một ghi chú tiền chuộc có tên ako-readme.txt sẽ xuất hiện trên desktop.

Mức độ nguy hiểm

Có 2 yếu tố tạo nên sự nguy hiểm của mã độc Ako:

• Không bị giới hạn trong các hệ thống riêng lẻ và có thể lan truyền theo cấp số nhân qua các hệ thống mạng.
• Lây nhiễm toàn bộ hệ thống mạng, khiến các tổ chức, công ty nạn nhân buộc phải trả lượng tiền chuộc lớn, có thể lên tới hàng triệu đô la.

Hiện vẫn các nhà nghiên cứu bảo mật vẫn chưa thể xác định kỹ thuật phân phối chính xác của mã độc này.

Nguồn Quantrimang

Khóa học Chuyên Viên Quản Trị Website – ACWT

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Tuần này chúng ta đã thấy các nhà khai thác ransomware mới nhắm mục tiêu vào các doanh nghiệp, dữ liệu bị đánh cắp được công bố và Sodinokibi Ransomware được xác nhận là đứng sau vụ tấn công mạng Travelex.

Các nhà khai thác ransomware nhắm mục tiêu vào doanh nghiệp và đánh cắp dữ liệu trước khi mã hóa máy tính là điều bình thường mới và các doanh nghiệp cần bắt đầu thay đổi cách họ phản ứng với các loại tấn công này.

Thay vì che giấu các cuộc tấn công ransomware, nạn nhân sẽ cần phải minh bạch, xử lý các cuộc tấn công như vi phạm dữ liệu, thông báo chính phủ và gửi thông báo cho bất kỳ người dùng nào bị ảnh hưởng bởi vi phạm. Không làm như vậy sẽ chỉ dẫn đến tiền phạt, kiện cáo và làm mờ hình ảnh thương hiệu.

Những cuộc tấn công này không chỉ ảnh hưởng đến công ty đã được mã hóa mà còn cả khách hàng và nhân viên của họ có dữ liệu cá nhân bị đánh cắp.

Điều này càng trở nên trầm trọng hơn khi Sodinokibi Ransomware tham gia vào trò chơi phát hành dữ liệu bị đánh cắp cho các biến thể ransomware không thanh toán và mới như Ako và Snake đang nhắm mục tiêu toàn bộ mạng thay vì máy tính cá nhân.

Điều tồi tệ hơn là các khai thác công khai cho lỗ hổng CVE-2019-19781 của Citrix ADC (Netscaler) đã được phát hành. Hy vọng sẽ thấy một làn sóng các cuộc tấn công ransomware mới được dàn xếp thông qua lỗ hổng này.

Ngày 04/01/2020

Phần mềm mã hóa Erica

dnwls0719 đã tìm thấy một phần mềm ransomware mới có tên Erica Encoder sử dụng một phần mở rộng ngẫu nhiên và làm rơi một ghi chú tiền chuộc có tên HOW TO RESTORE ENCRYPTED FILES.TXT.

Biến thể mới của Crypton Aurora Ransomware

dnwls0719 đã tìm thấy một biến thể Aurora Ransomware mới nối thêm phần mở rộng .crypton và bỏ các ghi chú tiền chuộc có tên @_FILES_WERE_ENCRYPTED_@.TXT, @_HOW_TO_PAY_THE_RANSOM_@.TXT, và @_HOW_TO_DECRYPT_FILES_@.TXT.

Ngày 06/01/2020

Sodinokibi Ransomware tấn công Travelex, yêu cầu 3 triệu đô la

Đã hơn sáu ngày kể từ khi một cuộc tấn công mạng phá hủy các dịch vụ của công ty ngoại hối quốc tế Travelex đã có thể xác nhận rằng các hệ thống của công ty đã bị nhiễm Ransomware Sodinokibi.

Aurora Decryptor được cập nhật

Emsisoft đã cập nhật Aurora Decryptor của họ để hỗ trợ phần mở rộng .crypton.

Ransomware mới SatanCryptor

S! Ri đã tìm thấy một phần mềm ransomware mới có tên SatanCryptor, làm rơi một ghi chú tiền chuộc có tên # SATAN CRYPTOR # .hta và nối thêm phần mở rộng .Satan vào các tệp được mã hóa.

Ransomware mới Somik1

S! Ri đã tìm thấy một phần mềm ransomware mới có tên Somik1 dường như đang được phát triển.

Ngày 07/01/2020

Phần mềm Ransomware Deniz_kizi mới

Parthi đã tìm thấy một phần mềm ransomware mới nối thêm .Deniz_kizi vào các tệp được mã hóa và bỏ một ghi chú tiền chuộc có tên Xin vui lòng đọc cho tôi !!!. Hta.

Ngày 08/01/2020

SNAKE Ransomware là mạng doanh nghiệp nhắm mục tiêu đe dọa tiếp theo

Vì các quản trị viên mạng đã không có đủ trên đĩa của họ, giờ đây họ phải lo lắng về một phần mềm ransomware mới có tên SNAKE đang nhắm mục tiêu vào mạng của họ và nhằm mã hóa tất cả các thiết bị được kết nối với nó.

Biến thể WannaCryFake DarkCrypt mới

S! Ri đã tìm thấy một biến thể mới của WannaCryFake Ransomware tự gọi là DarkCrypt làm rơi một ghi chú tiền chuộc có tên README.txt.

Role Safe Ransomware

S! Ri đã tìm thấy một phần mềm ransomware mới nối thêm phần mở rộng .encrypted.

M461c14n R4n50m3w473 mới

MalwareHunterTeam đã tìm thấy một ransomware mới có tên là M461c14n R4n50m3w473.

Ngày 09/01/2020

Sodinokibi Ransomware cho biết Travelex sẽ trả tiền, bằng cách này hay cách khác

Những kẻ tấn công đằng sau Sodinokibi Ransomware đang gây áp lực lên Travelex để trả khoản tiền chuộc hàng triệu đô la bằng cách tuyên bố họ sẽ tiết lộ hoặc bán dữ liệu bị đánh cắp có chứa thông tin cá nhân của khách hàng.

Quansera Ransomware mới

S! Ri tìm thấy một ransomware mới gọi là Quimera.

Biến thể Kangaroo Ransomware mới

S! Ri đã tìm thấy một biến thể Kangaroo Ransomware mới nối thêm phần mở rộng .missing vào các tệp được mã hóa.

Ransomware mới BitPyLock

MalwareHunterTeam đã tìm thấy một phần mềm ransomware mới có tên BitPyLock nối thêm phần mở rộng .bitpy và bỏ ghi chú tiền chuộc có tên # HELP_TO_DECRYPT_YOUR_FILES # .html.

Ngày 10/01/2020

Ako Ransomware: Một ngày mới, các doanh nghiệp bị tấn công lây nhiễm theo cách khác

Giống như một ngọn lửa, các ransomware mới nhắm vào các doanh nghiệp tiếp tục xuất hiện mỗi ngày khi chúng bị lôi kéo bởi triển vọng của các khoản thanh toán tiền chuộc hàng triệu đô la. Một ví dụ về điều này là một ransomware mới có tên Ako đang nhắm mục tiêu toàn bộ mạng thay vì chỉ các máy trạm riêng lẻ.

Sodinikibi Ransomware tấn công hệ thống sân bay New York

Nhân viên của sân bay quốc tế Albany thông báo rằng các máy chủ hành chính của sân bay New York đã bị tấn công bởi Sodinokibi Ransomware sau một cuộc tấn công mạng diễn ra vào Giáng sinh.

Maze Ransomware Xuất bản 14GB tệp bị đánh cắp Southwire

Các nhà điều hành Maze Ransomware đã phát hành thêm 14GB tệp mà họ cho là đã bị đánh cắp từ một trong những nạn nhân của họ vì không trả tiền cho nhu cầu ransomware.

Biến thể Ransomware Inchin Scarab mới

Amigo-A đã tìm thấy một biến thể mới của Scarab Ransomware có gắn phần mở rộng .inchin vào các tệp được mã hóa và bỏ một ghi chú tiền chuộc có tên RECOVER.TXT.

Ransomware Lion mới

GrujaRS đã tìm thấy Lion Ransomware dựa trên BlackHeart.

Đó là tất cả cho tuần này! Hy vọng mọi người có một ngày cuối tuần tốt đẹp!

Nguồn BleepingComputer

Khóa học Chuyên Viên Quản Trị Mạng Nâng Cao – ANAT

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Botnet này có tên MyKingz (còn được biết đến với biệt danh Smominru, DarkCloud hoặc Hexmen), hiện đang tận dụng steganography – một kỹ thuật cho phép ẩn tệp tin độc hại bên trong các tệp tin hợp lệ nhằm đánh lừa những người “nhẹ dạ cả tin” hoặc không có nhiều kiến thức về bảo mật dữ liệu.

Theo phát hiện của Sophos, những kẻ đứng sau MyKingz đã tiến hành ẩn một tệp thực thi EXE độc hại bên trong hình ảnh JPEG của nữ ca sĩ nổi tiếng Taylor Swift và sử dựng hình ảnh này để đánh lừa, lan truyền mã độc trên máy tính của các nạn nhân khi họ click vào bức ảnh.

Bức ảnh ban đầu (bên trái) trông rất bình thường, nhưng ẩn sâu bên trong nó là file độc

Trên thực tế MyKingz không phải là một Botnet mới mẻ. Nó được phát hiện lần đầu vào năm 2017, tuy nhiên một trong những đặc điểm khiến MyKingz trở nên nguy hiểm chính là khả năng ẩn mình và thay đổi phương thức lây lan vô cùng linh hoạt. Hiện tại, Botnet này được ghi nhận là một trong số ít các phần mềm độc hại khai thác tiền điện tử có quy mô lên tới hàng trăm ngàn thiết bị.

Trong hoạt động thực tế, MyKingz chủ yếu tập trung vào các hệ thống Windows, và đặc biệt, Botnet này đang sở hữu một trong những cơ chế quét, lây nhiễm mã độc tinh vi nhất từng được ghi nhận trên tất cả các botnet đã được biết đến tính tới thời điểm hiện tại. MyKingz có thể nhắm mục tiêu đến mọi hệ thống có liên quan đến Windows, chẳng hạn như MySQL, MS-SQL, Telnet, ssh, IPC, WMI, Remote Desktop (RDP) và thậm chí là cả các máy chủ chạy bộ lưu trữ camera CCTV.

Theo ước tính, chỉ sau vài tháng được tung ra trên quy mô toàn cầu, MyKingz đã lây nhiễm thành công trên 525.000 hệ thống Windows, thu về lượng tiền ảo Monero (XMR) có giá trị lên tới hơn 2,3 triệu đô la. Các quốc gia “ưa thích” của Botnet này bao gồm: Trung Quốc, Đài Loan, Nga, Brazil, Mỹ, Ấn Độ và Nhật Bản.

Báo cáo mới nhất của Sophos cho thấy MyKingz hiện đang lây nhiễm khoảng 4.700 hệ thống mới và giúp những kẻ tấn công bỏ túi 300 đô la mỗi ngày – số tiền không quá lớn nhưng chủ yếu là do tỉ giá của Monero đang trên đà giảm mạnh.

Nguồn quantrimang

Khóa học Hacker Mũ Trắng – AEH

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Cụ thể, malware khai thác lỗ hổng Strandhogg sẽ ẩn núp dưới dạng một ứng dụng hợp pháp. Khi người dùng kích vào icon, mã độc sẽ can thiệp và hiển thị một giao diện giả mạo của phần mềm thật. Điều này khiến người dùng sẽ tưởng mình đang sử dụng ứng dụng thật, giúp ứng dụng độc hại dễ dàng ăn cắp thông tin nhạy cảm của người dùng, nghe lén qua micro, chụp lén từ xa, ghi âm cuộc gọi… sau đó gửi chúng cho kẻ tấn công thông qua máy chủ từ xa.

Các nhà nghiên cứu cho biết, lỗ hổng này cực kỳ nguy hiểm bởi nó cho phép kẻ tấn công mạo danh gần như tất cả mọi ứng dụng và người dùng gần như không thể nhận ra.

Trong video dưới đây, kẻ tấn công bằng cách thao túng một vài điều kiện chuyển trạng thái (task state transition conditions), đã đánh lừa hệ thống và khởi động một giao diện giả mạo. Khi nạn nhân nhập thông tin cá nhân vào, mã độc lập tức gửi những thông tin đó tới kẻ tấn công, giúp hắn có thể truy cập vào mọi tài khoản nhạy cảm của người dùng.

Các nhà nghiên cứu bảo mật đã phát hiện ra ít nhất 36 ứng dụng độc hại đang khai thác lỗ hổng Strandhogg. Một trong số đó là CamScanner, ứng dụng tạo file PDF, đã có hơn 100 triệu lượt tải. Tuy nhiên, các nhà nghiên cứu cho rằng, hiện có khoảng 500 ứng dụng phổ biến có nguy cơ bị mạo danh.

Hiện tại, các phần mềm độc hại đã được Google gỡ bỏ nhưng lỗ hổng Strandhogg vẫn chưa được vá.

Theo khuyến cáo của Promon, trong khi chờ đợi bản vá người dùng phải tự bảo vệ mình bằng cách để ý một số chi tiết nhỏ như thông báo pop-up đòi quyền truy cập nhưng không hiển thị tên ứng dụng, những ứng dụng đã đăng nhập rồi nhưng vẫn yêu cầu đăng nhập lại, các phím ảo (gồm phím back) và liên kết (link) khi nhấp vào không hoạt động…

Nguồn quantrimang

Về cơ bản, Clop CryptoMix là một biến thể của CryptoMix Ransomware, sử dụng đuôi mở rộng .Clop và sở hữu ghi chú tiền chuộc có tên CIopReadMe.txt (chữ ký: “Dont Worry C|0P”). Có thể gọi nôm na mã độc tống tiền này là Clop.

Cố gắng vô hiệu hóa Windows Defender

Theo phân tích được thực hiện bởi nhà nghiên cứu bảo mật nổi tiếng Vitali Kremez, Clop đã được bổ sung thêm khả năng âm thầm thực thi một kỹ thuật đặc biệt, cho phép nó vô hiệu hóa nhiều loại phần mềm bảo mật trước khi mã hóa dữ liệu của nạn nhân, trong đó bao gồm Windows Defender và một số phần mềm bảo mật của Malwarebytes.

Đây về cơ bản là kỹ thuật giúp chống lại các thuật toán hành vi giúp phát hiện mã hóa tệp cũng như chặn ransomware của phần mềm bảo mật.

Để vô hiệu hóa Windows Defender, Clop sẽ cấu hình nhiều giá trị Registry khác nhau để vô hiệu hóa các khả năng giám sát hành vi, bảo vệ thời gian thực, upload mẫu mã độc lên Microsoft, Tamper Protection, bảo mật đám mây và phát hiện phần mềm chống phần mềm gián điệp… của chương trình này.

Tin vui là nếu bạn đã bật Tamper Protection trong Windows 10, các giá trị cài đặt này sẽ bị đặt lại về cấu hình mặc định của chúng và Windows Defender sẽ vẫn hoạt động bình thường mà không bị vô hiệu hóa, và ngược lại.

Ngoài Windows Defender, Clop cũng đang nhắm mục tiêu vào các máy tính cũ hơn bằng cách gỡ cài đặt Microsoft Security Essentials. Thực tế là CryptoMix được chạy bởi các đặc quyền quản trị viên từ những kẻ tấn công, do đó nó hoàn toàn có thể xóa phần mềm mà không gặp bất cứ vấn đề gì.

Cố gắng gỡ cài đặt Malwarebytes Anti-Ransomware

Nhóm nghiên cứu bảo mật MalwareHunterteam đã phát hiện ra bên cạnh Windows Defender, Clop cũng đang nhắm mục tiêu tương tự vào chương trình Malwarebytes Anti-Ransomware độc lập.

Khi được thực thi, mã độc sẽ cố gắng vô hiệu hóa các chương trình Anti-Ransomware của Malwarebytes bằng lệnh sau:

C:\Program Files\MalwareBytes\Anti–Ransomware\unins000.exe /verysilent /suppressmsgboxes /norestart

Mặt khác, CryptoMix thường được cài đặt thông qua Remote Desktop hoặc xâm nhập qua hệ thống mạng, do vậy, việc nhắm mục tiêu các sản phẩm mà máy trạm doanh nghiệp cũ có thể đang sử dụng cho phép phần mềm ransomware này có thể tự do hoạt động mà không gặp phải bất cứ rào cản nào khi mã hóa toàn bộ mạng.

Hiện cả Microsoft và Malwarebytes đều chưa đưa ra bình luận nào đối với các phát hiện trên.

Nguồn quantrimang