VN-Index
HNX-Index
Nasdaq
USD
Vàng
Giới thiệu tòa soạn Hotline: 0987 828 585
Mã độc mới có thể cướp quyền đăng nhập Facebook và Gmail tại Việt Nam

Mã độc mới có thể cướp quyền truy cập ứng dụng trên máy tính và điều khiển máy tính từ xa.

Mã độc mới có thể cướp quyền đăng nhập Facebook và Gmail tại Việt Nam

Theo CMC Cyber Security, dòng mã độc mới sử dụng PlugX RAT đang tấn công vào Việt Nam có thể lấy cookies của các trang web như Facebook, Gmail kể cả khi người dùng đã bật xác thực hai bước. 

Cảnh báo những thủ đoạn lừa tiền của tội phạm công nghệ cao

Mạng xã hội "tỷ dân" Facebook: Từ dự án sinh viên thành gã khổng lồ tạo nên cuộc cách mạng công nghệ toàn cầu

Mã độc tấn công thiết bị di động tăng gấp đôi trong năm 2018

Cảnh báo về chiến dịch tấn công máy chủ, mã độc trên di động

Khi người dùng đã đăng nhập vào các trang web, thông tin về trạng thái đăng nhập sẽ được lưu trong cookie. Qua quá trình kiểm tra, đối với trang facebook, các cookies này có thể cho phép kẻ tấn công đánh cắp phiên đăng nhập. Ngoài ra, việc lộ cookies từ các trang khác như Gmail, Yahoo, Outlook cũng rất nguy hiểm, đều là các thông tin nhạy cảm mà kẻ tấn công có thể khai thác phục vụ các mục đích xấu.

PlugX là một công cụ độc hại với rất nhiều phiên bản khác nhau được sử dụng nhiều trong các cuộc tấn công APT trên thế giới trong đó bao gồm cả các cuộc tấn công vào Việt Nam. Quá trình thực thi trên máy tính của người dùng sẽ trải qua các giai đoạn sau: File exe được kí bởi các tổ chức lớn được thực thi và load kèm 1 dll độc hại bị sửa đổi. DLL đọc file payload đi kèm và thực thi shellcode trong payload. Shellcode sẽ giải mã và giải nén payload dưới  dạng dll sau đó sẽ thực thi payload này. Dll sẽ cài đặt tự động chạy lên hệ thống thông qua windows service hay registry, chạy các tiến trình con khác và inject code vào các tiến trình của windows.  Các tiến trình bị inject code thực thi các chức năng của PlugX. 

Sau khi hoàn tất việc cài đặt và inject code lên các tiến trình khác, PlugX bắt đầu thực thi các chức năng của mình thông qua việc nhận lệnh từ C&C hoặc nhận lệnh trực tiếp thông qua backdoor. Các lệnh từ C&C có thể bao gồm: Đọc, ghi file, thư mục, Keylogger; Lấy thông tin về mạng kết nối tới, lấy thông tin các kết nối TCP, UDP; Quản lí Port; Quản lí phiên của user như lock screen, logoff, shutdown, restart; Lấy thông tin về danh sách tiến trình và các module trong tiến trình, tắt tiến trình; Thêm, sửa, xóa, và truy vấn các thông tin trong registry, chụp ảnh màn hình; Lấy thông tin các dịch vụ được cài đặt, thay đổi cài đặt, trạng thái và xóa các dịch vụ; Thực thi các truy vấn về SQL nếu phát hiện sql server trên máy tính nạn nhân.

Và đặc biệt, PlugX có thể tạo ra backdoor cho phép kẻ tấn công trực tiếp hoặc gián tiếp thực thi lệnh từ xa trên máy tính nạn nhân.       

Theo CMC Cyber Security,  tấn công APT được tổ chức chặt chẽ, có sự đầu tư lớn về tài chính, công nghệ và bước chuẩn bị nên rất khó để hệ thống bảo mật phát hiện được.

Các tổ chức cần cần có phương án để phòng chống lại tấn công APT bằng các biện pháp như: Triển khai phòng thủ theo chiều sâu từ các điểm ra vào mạng cho đến thiết bị cuối. Sử dụng các công nghệ, kỹ thuật, phương pháp giám sát hệ thống để phát hiện sớm dấu hiệu bị tấn công. Sử dụng các dịch vụ đánh giá lỗ hổng, mối đe dọa để hạn chế các đường tấn công. Lập kế hoạch ứng phó sự cố trước để giảm thiểu thiệt hại khi bị tấn công. Đào tạo nâng cao nhận thức về đảm bảo an toàn thông tin cho cán bộ nhân viên trong tổ chức giúp họ đảm bảo an toàn cho mạng và các thông tin họ nắm giữ.

THÔNG TIN CẦN QUAN TÂM