Hacker khai thác mã nhị phân của VMWare lan truyền phần mềm độc hại

Mới đây, các nhà nghiên cứu đã phát hiện ra một trojan chuyên tấn công hệ thống ngân hàng được tạo ra bằng cách khai thác mã nhị phân của VMware nhằm đánh lừa các công cụ bảo mật.

Nguồn: Thinkstock.

Theo các nhà nghiên cứu Cisco Talos thì gần đây, một loại phần mềm độc hại mới đã xuất hiện ở Brazil, mục tiêu nhắm đến các ngân hàng khu vực Nam Mỹ để ăn cắp thông tin cá nhân của khách hàng và trục lợi bất chính về tài chính.

Phần mềm độc hại này là một dạng trojan ẩn. Do đó, các tổ chức cần có sự cảnh giác và đảm bảo rằng từ nhân viên đến khách hàng phải tuân theo các quy tắc tốt nhất để phòng tránh các cuộc tấn công.

Trojan xâm nhập như thế nào?

Hacker sẽ gửi thư spam viết bằng tiếng Bồ Đào Nha, vì người dùng có nhiều khả năng sẽ mở email được viết bằng tiếng mẹ đẻ của họ. Trong thư sẽ có đính kèm hóa đơn Boleto, một phương thức thanh toán phổ biến ở Brazil.

Thực chất hóa đơn này là một tệp tin độc hại có URL chuyển hướng người dùng đến thư mục RAR có chứa tệp JAR. Người dùng nhấp đúp vào tệp JAR sẽ kích hoạt quy trình Java khởi tạo mã độc hại và cài đặt trojan vào thiết bị.

Mã Java thiết lập phần mềm độc hại và liên kết đến máy chủ từ xa nhằm tải xuống một loạt các tệp bổ sung. Mã này sau đó sẽ đổi tên thành vm.png, một mã nhị phân như chính hãng VMware để đánh lừa các chương trình bảo mật.

Khai thác mã nhị phân của VMware

Nếu mã nhị phân ban đầu, chẳng hạn như vm.png, được chấp nhận thì người dùng sẽ đinh ninh các tệp tin tiếp theo cũng đáng tin cậy. Hacker nhờ chiến lược này sẽ vượt qua được các kiểm tra an ninh.

Chẳng hạn như mã nhi phân vmwarebase.dll khi được kích hoạt sẽ cho phép lan truyền mã prs.png trên explorer.exe hoặc notepad.exe, tạo ra chế độ đăng ký tự động và kiểm tra xem người dùng có tương tác với các tổ chức tài chính của Brazil hay không. Sau đó, người dùng sẽ bị lừa để tiết lộ thông tin quan trọng, chẳng hạn như chi tiết đăng nhập của họ.

 

Rủi ro tài chính đối với người dùng

Nhóm Cisco Talos đã thông báo rằng trojan còn sử dụng nhiều mã nhị phân khác được tích hợp với công cụ bảo vệ phần mềm Themida nên rất khó phân biệt đâu là mã thật, đâu là mã giả và rất khó giải quyết các mối đe dọa này.

Các nhà quản lý công nghệ thông tin nên thêm trường hợp này vào danh sách nguy cơ phần mềm độc hại cần đối phó và đảm bảo thực hiện các biện pháp bảo mật tốt nhất để bảo vệ người dùng như cẩn thận khi mở các liên kết và tệp đính kèm, không tải tệp từ các trang web lạ và cài đặt phần mềm chống virus đầy đủ.

Theo tto

SHARE