Tin tặc giấu mã độc sau biểu tượng của Windows

Anh Quân09:36 03/10/2022

Mã độc tạo backdoor phục vụ các chiến dịch tấn công mạng được nhóm tin tặc Witchetty giấu phía sau logo của Windows vừa bị phát hiện.

Một nhóm nghiên cứu bảo mật mới đây phát hiện chiến dịch tấn công bằng mã độc do nhóm tin tặc Witchetty cầm đầu, sử dụng chiến thuật ẩn mã để che giấu chương trình khả nghi chứa backdoor (cửa hậu để tấn công khiến nạn nhân không hay biết) bên dưới logo của Windows.

Logo Windows 7 bị tin tặc ẩn mã độc

Theo BleepingComputer, Witchetty được cho là liên quan mật thiết tới nhóm tin tặc APT10 (tên gọi khác Cicada) của Trung Quốc. Thậm chí, nhóm này còn được xem như một phần của hoạt động TA410, chiến dịch từng dính líu tới vụ tấn công vào các nhà cung cấp năng lượng tại Mỹ.

Video đang HOT

Báo cáo của hãng bảo mật Symantec cho thấy nhóm hacker đang thực hiện chiến dịch gián điệp mạng khởi động từ tháng 2.2022 nhắm vào 2 chính phủ ở Trung Đông, một sàn giao dịch chứng khoán tại châu Phi và chưa dừng lại.

Trong chiến dịch mới, các tin tặc sử dụng công cụ của mình nhắm vào nhiều mục tiêu dễ tấn công khác nhau, lợi dụng ẩn mã để giấu mã độc khỏi các phần mềm chống virus có trên máy tính. “Ẩn mã” thường trà trộn vào các tập tin trên máy tính, dữ liệu công khai để tránh bị phát hiện. Ví dụ, tin tặc tạo một tập tin dạng ảnh hiển thị bình thường trên máy tính, nhưng ẩn sau đó là đoạn mã độc có thể được trích xuất để sử dụng cho mục đích xấu.

Witchetty lần này sử dụng backdoor mã hóa đưa vào trong file ảnh mang logo Windows cũ. Tập tin này được lưu trữ trên một dịch vụ đám mây được tin cậy thay vì máy chủ ra lệnh và kiểm soát (C2) thường được tin tặc sử dụng, từ đó giảm thiểu rủi ro bị công cụ bảo mật phát hiện.

“Việc ngụy trang theo kiểu này cho phép kẻ tấn công đặt tập tin trên máy chủ miễn phí và được tin cậy. Ví dụ, tải ảnh từ nguồn uy tín như GitHub sẽ ít nguy cơ bị phát hiện hơn tải từ C2″, chuyên gia của Symantec phân tích trong báo cáo.

Mã độc ẩn dưới logo Windows này có thể thực thi lệnh liên quan tới tập tin và đường dẫn lưu trữ trên máy, tự khởi động hoặc kết thúc một quy trình làm việc, chỉnh sửa phần Windows Registry (cơ sở dữ liệu phân cấp lưu trữ các cài đặt cho hệ điều hành Windows), tải thêm các gói ngoài mong muốn của nạn nhân…

McAfee có lỗ hổng cho phép hacker chạy code chiếm quyền hệ thống Windows

Trellix (tên mới của McAfee Enterprise) vừa vá một lỗ hổng nghiêm trọng trên phần mềm McAfee Agent dành cho Windows, cho phép tin tặc chiếm quyền hệ thống Windows và thực thi mã độc.

McAfee Agent là một thành phần phía máy khách (client-side) của McAfee ePolicy Orchestrator. Phần mềm này có nhiệm vụ tải xuống và thực thi các chính sách điểm cuối (endpoint) và triển khai chữ ký chống virus, nâng cấp, vá các sản phẩm mới trên endpoint của doanh nghiệp.

Được tìm ra bởi nhà phân tích bảo mật Will Dormann (đến từ CERT/CC - Trung tâm Điều phối nhóm ứng phó khẩn cấp máy tính, trực thuộc Viện Kỹ thuật phần mềm Mỹ), lỗ hổng được đánh giá là nghiêm trọng và được theo dõi dưới mã CVE-2022-0166. Sau khi khai thác thành công, tin tặc có thể thực thi các phần mềm độc hại nhưng vẫn không bị phát hiện.

Lỗ hổng bảo mật LPE được tìm thấy trên McAfee Agent

Thông thường, các lỗ hổng dạng LPE sẽ được khai thác trong giai đoạn sau của các cuộc tấn công, giúp mã độc có thể xâm nhập sâu vào trong hệ thống nạn nhân và thi hành mã độc với đặc quyền NT AUTHORITY\SYSTEM - vốn chỉ được sử dụng bởi hệ điều hành và các dịch vụ có sẵn được Microsoft tích hợp.

Lỗ hổng đã được nhà phát hành khắc phục với bản cập nhật McAfee Agent 5.7.5, được phát hành hôm 18.1 vừa qua. Với các phiên bản cũ hơn, nguy cơ bị tấn công là rất cao, do đó McAfee khuyến khích người dùng bản cũ hãy nâng cấp ngay khi có thể.

Từng có rất nhiều lỗ hổng bảo mật được tìm ra trên McAfee

Theo thống kê của Bleeping Computer, đây không phải là lần đầu tiên một lỗ hổng nghiêm trọng trên sản phẩm bảo mật Windows của McAfee được tìm thấy.

Tháng 9.2021, một lỗ hổng LPE (mã CVE-2020-7315, cho phép tin tặc thực thi mã độc và vô hiệu hóa trình diệt virus) đã được nhà nghiên cứu Clement Notin đến từ công ty bảo mật Tenable phát hiện ra.

Trước đó, một lỗ hổng bảo mật LPE khác cho phép hacker thực thi mã độc bằng tài khoản hệ thống đã được tìm thấy. Lỗ hổng này ảnh hưởng đến tất cả các phần mềm chống virus dành cho Windows của McAfee trong thời điểm cuối năm 2019, bao gồm Total Protection, Anti-virus Plus và Internet Security.

11.600 máy chủ tại Việt Nam có thể bị khai thác lỗ hổng Tin tặc có thể thực thi mã và tấn công hệ thống từ xa khi khai thác lỗ hổng mức nghiêm trọng mã CVE-2022-26809 của Windows. Ngày 12/4, Microsoft đã phát hành bản vá Windows với 128 lỗ hổng bảo mật trên hệ điều hành. Đặc biệt, lỗi CVE-2022-26809 được công ty đánh giá với CVSS (Hệ thống chấm điểm lỗ hổng bảo...

Bạn thấy bài viết này có hữu ích không?

Có

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Các thương hiệu lớn Trung Quốc rủ nhau rời xa Android?08:38

iPhone có một tính năng không phải ai cũng biết00:36

Canh bạc AI của Apple nhằm 'hạ bệ' Samsung08:44

Lý do bất ngờ khiến Windows 7 khởi động chậm chạp06:56

Vì sao pin smartphone Android kém hơn sau khi cập nhật phần mềm02:20

Windows 11 chiếm bao nhiêu dung lượng ổ cứng?01:07

5 điều nhà sản xuất smartphone không nói cho người mua08:58

One UI 7 đến với dòng Galaxy S2103:50

Tiêu điểm

Tin đang nóng

Tin mới nhất

AI không thể đọc đồng hồ hoặc tính lịch: Lỗ hổng bất ngờ

18:59:43 18/05/2025

Một điểm đáng chú ý khác trong nghiên cứu chỉ ra rằng các mô hình AI không sử dụng các thuật toán số học như máy tính truyền thống. Thay vào đó, nó dựa vào việc phát hiện các mẫu trong dữ liệu đã học để dự đoán đầu ra phù hợp.

OpenAI ra mắt phiên bản chat GPT-4.1, có bước tiến vượt bậc về hiệu suất

18:36:34 18/05/2025

Sự nâng cấp này mở ra tiềm năng cho các tương tác sâu, phức tạp hơn và đặc biệt hữu ích cho các nhà phát triển và các ứng dụng chuyên nghiệp đòi hỏi khả năng phân tích ngữ cảnh sâu rộng.

Thêm nâng cấp lớn của iPhone bản kỷ niệm 20 năm

18:35:26 18/05/2025

Đặc biệt, việc kết nối Mobile HBM với GPU trên các mẫu iPhone dự kiến xuất hiện trong năm 2027 có thể cho phép chạy mô hình ngôn ngữ lớn (LLM) ngay trên thiết bị mà không tốn quá nhiều pin hoặc làm tăng độ trễ của điện thoại.

Bài nghiên cứu AI bị nghi do... AI viết khiến chủ nhân giải Nobel cũng bị 'choáng'

18:33:28 18/05/2025

MIT cho biết, do các quy định bảo vệ quyền riêng tư của sinh viên, họ không thể công bố kết quả của cuộc xem xét này, và tác giả bài nghiên cứu không còn học tại MIT .

Apple, ChatGPT lọt nhóm thương hiệu giá trị nhất thế giới

16:12:37 18/05/2025

Nhà sản xuất chip đạt mức định giá 3 nghìn tỷ USD sau khi công bố thỏa thuận với một công ty công nghệ của Ả Rập Xê Út. Nvidia đứng ở vị trí thứ 5 trong danh sách có thương hiệu giá trị nhất.

Thiếu sót lớn nhất Samsung mắc phải với One UI 7

11:11:24 18/05/2025

Sau khi Samsung triển khai rộng rãi One UI 7 đến người dùng Galaxy, nhiều cuộc thảo luận sôi nổi về phiên bản này đã xuất hiện.

Robot hình người vào nhà máy Trung Quốc

16:30:09 17/05/2025

Theo các chuyên gia, tiến trình chuyển đổi tại các nhà máy đã chứng minh việc máy móc thay thế con người không đáng lo ngại như suy nghĩ ban đầu bởi tình trạng thiếu hụt lao động vẫn xảy ra trong một số lĩnh vực.

Qualcomm ra chip di động mới cho điện thoại tầm trung, nhấn mạnh vào AI

13:06:20 17/05/2025

Các mẫu điện thoại tầm trung sử dụng chip Qualcomm trong tương lai sẽ được tăng cường hiệu suất xử lý, tích hợp thêm nhiều tính năng trí tuệ nhân tạo.

Netflix ứng dụng AI vào quảng cáo

09:57:39 17/05/2025

Khi so sánh với các đối thủ cạnh tranh, quảng cáo trên Netflix thu hút chú ý cao hơn, người dùng tương tác nhiều hơn nên đem lại hiệu quả xứng đáng với số tiền mà nhà quảng cáo bỏ ra.

Apple chuẩn bị tung iPhone 'khác biệt nhất lịch sử'

11:55:31 16/05/2025

Nếu thành công, đây sẽ là lần đầu tiên HBM được tích hợp trên smartphone. Hướng đi này cũng tương tự cách Apple sử dụng bộ nhớ hợp nhất (Unified Memory) trên dòng máy Mac dùng chip Apple Silicon, giúp tăng hiệu quả xử lý dữ liệu AI.

Top 4 camera Tapo ngoài trời bền đẹp, chất lượng cao

11:17:58 16/05/2025

Thiết kế nhỏ gọn, dễ lắp đặt ở nhiều vị trí khác nhau trong nhà như phòng khách, phòng ngủ, hay khu vực cửa ra vào. Tapo C120 hỗ trợ lưu trữ linh hoạt qua thẻ nhớ microSD hoặc trên đám mây (Tapo Care), đảm bảo dữ liệu an toàn.

Ra mắt dòng mô hình AI mạnh nhất dành cho người viết phần mềm

11:06:46 16/05/2025

Trong khi đó, SWE-1 chỉ dành cho người dùng trả phí. Windsurf chưa công bố giá cụ thể cho dòng mô hình SWE-1, nhưng khẳng định chi phí sử dụng rẻ hơn Claude 3.5 Sonnet.