Thị trường hàng hóa

  • Vàng 2,007.50 +11.50 +0.58%
  • XAU/USD 1,998.53 +9.13 +0.46%
  • Bạc 25.317 +0.246 +0.98%
  • Đồng 3.8457 -0.0158 -0.41%
  • Platin 1,112.70 +6.70 +0.61%
  • Paladi 1,513.28 +4.88 +0.32%
  • Dầu Thô WTI 74.55 +0.25 +0.34%
  • Dầu Brent 78.06 +0.34 +0.44%
  • Khí Tự nhiên 2.311 +0.006 +0.26%
  • Dầu Nhiên liệu 2.3770 +0.0078 +0.33%
  • Xăng RBOB 2.5190 +0.0065 +0.26%
  • Dầu khí London 693.00 +1.62 +0.23%
  • Nhôm 2,312.00 -15.00 -0.64%
  • Kẽm 2,602.00 -43.00 -1.63%
  • Ni-ken 23,721.00 +75.00 +0.32%
  • Copper 8,492.50 -60.00 -0.70%
  • Lúa mì Hoa Kỳ 634.60 -6.40 -1.00%
  • Thóc 17.030 -0.040 -0.23%
  • Bắp Hoa Kỳ 597.00 -3.00 -0.50%
  • Đậu nành Hoa Kỳ 1,409.50 -4.50 -0.32%
  • Dầu Đậu nành Hoa Kỳ 51.78 -0.72 -1.37%
  • Khô Đậu nành Hoa Kỳ 425.55 -1.85 -0.43%
  • Cotton Hoa Kỳ loại 2 78.62 +0.26 +0.33%
  • Ca Cao Hoa Kỳ 2,947.50 -2.50 -0.08%
  • Cà phê Hoa Kỳ loại C 188.80 -2.80 -1.46%
  • Cà phê London 2,382.00 -143.00 -5.66%
  • Đường Hoa Kỳ loại 11 26.66 +0.15 +0.57%
  • Nước Cam 269.85 -10.00 -3.57%
  • Bê 174.45 +0.15 +0.09%
  • Heo nạc 78.40 +1.52 +1.98%
  • Bê đực non 233.70 +4.38 +1.91%
  • Gỗ 348.00 -15.70 -4.32%
  • Yến mạch 327.90 +0.60 +0.18%
14:16 31/10/2023

Phần mềm độc hại phức tạp với cấu trúc lây lan đa chức năng

Phần mềm độc hại mới cực kỳ tinh vi mang tên StripedFly vừa được phát hiện có tầm ảnh hưởng rộng rãi trên toàn cầu với hơn 1 triệu nạn nhân kể từ năm 2017.

Ban đầu, StripedFly hoạt động như một công cụ khai thác tiền điện tử. Thế nhưng sau đó lại được phát hiện là một phần mềm độc hại phức tạp với cấu trúc lây lan đa chức năng (multi-functional wormable framework).

Năm 2022, nhóm nghiên cứu và phân tích Toàn cầu (GReAT) của Kaspersky đã gặp phải hai phát hiện không mong muốn trong quy trình WININIT.EXE được kích hoạt bởi các chuỗi mã được quan sát trước đó trong phần mềm độc hại Equation.

Theo đó, hoạt động của phần mềm độc hại StripedFly diễn ra ít nhất từ năm 2017 và đã thành công tránh được sự quan sát trước đó bởi chúng thường được nhầm lẫn với các công cụ khai thác tiền điện tử thông thường. Sau khi xem xét kỹ lưỡng vấn đề, các chuyên gia phát hiện ra rằng công cụ khai thác tiền điện tử thực chất chỉ là một phần nhỏ của một thực thể lớn hơn nhiều của StripedFly - một cấu trúc độc hại được xây dựng phức tạp, đa nền tảng và đa plugin.

Tải trọng phần mềm độc hại bao gồm nhiều module, cho phép kẻ tấn công hoạt động như một APT (tấn công mạng có chủ đích), một công cụ khai thác tiền điện tử, thậm chí là một nhóm ransomware và những nhóm đối tượng này hoàn toàn có khả năng thay đổi mục đích tấn công từ việc thu lợi tài chính sang hoạt động gián điệp.

Đáng chú ý, tiền điện tử Monero được khai thác bởi module này đã đạt giá trị cao nhất là 542,33 USD vào ngày 09/01/2018, cao hơn 10 USD so với giá trị của năm 2017. Tính đến năm 2023, loại tiền điện tử này vẫn duy trì giá trị khoảng 150 USD. Các chuyên gia Kaspersky cũng nhấn mạnh rằng module khai thác là yếu tố chính giúp phần mềm độc hại này tránh bị phát hiện trong thời gian dài.

Kẻ tấn công đằng sau hoạt động này sở hữu khả năng chuyên môn để bí mật theo dõi mục tiêu. Phần mềm độc hại thu thập thông tin xác thực hai giờ một lần, lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập trên trang web và Wi-Fi, cùng với các dữ liệu cá nhân như tên, địa chỉ, số điện thoại, công ty và chức danh công việc.

Không những thế, phần mềm độc hại có thể chụp ảnh màn hình trên thiết bị của nạn nhân mà không bị phát hiện, hoàn toàn kiểm soát được thiết bị và thậm chí ghi âm nạn nhân thông qua đầu vào của micro.

Phương thức lây nhiễm ban đầu của phần mềm độc hại StripedFly vẫn chưa được xác định cho đến khi Kaspersky tiến hành một cuộc điều tra sâu hơn, tiết lộ việc sử dụng công cụ khai thác tuỳ chỉnh mang tên EternalBlue 'SMBv1' để xâm nhập vào hệ thống của nạn nhân.

Mặc dù lỗ hổng EternalBlue đã được công khai vào năm 2017 và Microsoft đã phát hành bản vá sau đó (được chỉ định là MS17-010), nhưng mối đe dọa mà phần mềm độc hại này gây ra vẫn rất đáng kể do nhiều người dùng chưa cập nhật hệ thống của mình.

Trong quá trình phân tích kỹ thuật của chiến dịch, các chuyên gia của Kaspersky đã quan sát thấy những điểm tương đồng của StripedFly với phần mềm độc hại Equation. Chúng bao gồm các chỉ số kỹ thuật như chữ ký liên quan đến phần mềm độc hại Equation, cũng như phong cách mã hóa và cách thực hành tương tự như những gì được xác định trong phần mềm độc hại StraitBizzare (SBZ). Dựa trên số lượt tải xuống được hiển thị bởi kho lưu trữ phần mềm độc hại, số mục tiêu StripedFly ước tính đã đạt hơn một triệu nạn nhân trên toàn cầu.

Ông Sergey Lozhkin, Nhà nghiên cứu bảo mật chính tại GReAT cho biết: “Những nỗ lực trong việc đầu tư tạo ra cấu trúc phần mềm độc hại này thực sự đáng chú ý và việc tiết lộ về phần mềm độc hại này cũng khá kinh ngạc. Khả năng thích ứng và phát triển của các tác nhân đe dọa là một thách thức không ngừng. Đó cũng chính là lý do tại sao điều quan trọng đối với chúng tôi, với tư cách là các nhà nghiên cứu, là phải tiếp tục nỗ lực phát hiện và phổ biến về các mối đe dọa mạng tinh vi, đồng thời đảm bảo rằng các khách hàng không quên việc bảo vệ toàn diện”.

Xem nhiều

Đọc thêm

Xem thêm