Cảnh báo chiến dịch phát tán mã độc mã hóa dữ liệu tống tiền W32.WeakPass nhắm vào các Server tại Việt Nam

Cảnh báo chiến dịch phát tán mã độc mã hóa dữ liệu ...

Chiều 14/2, Hệ thống giám sát virus của Bkav phát hiện một chiến dịch tấn công có chủ đích của các hacker nước ngoài nhằm vào các Server Public của Việt Nam. Đặc biệt, trong chiến dịch này, hacker chỉ tấn công các máy chủ, khác với các mã độc mã hóa dữ liệu trước đây thường nhắm vào các máy trạm.

Các địa chỉ phát động tấn công của hacker xuất phát từ Nga, châu Âu và châu Mỹ. Rất nhiều cơ quan, tổ chức tại Việt Nam đã bị xâm nhập máy chủ, dữ liệu trên server bị mã hóa toàn bộ, bao gồm: các file văn bản, file tài liệu, file cơ sở dữ liệu, file thực thi… Nạn nhân muốn lấy lại dữ liệu phải trả tiền chuộc cho hacker. Đến cuối buổi chiều 14/2, số nạn nhân đã lên đến hàng trăm cơ quan, tổ chức.

Bkav đã cập nhật mẫu nhận diện mã độc mã hóa dữ liệu W32.WeakPass vào các phiên bản phần mềm diệt virus Bkav, bao gồm cả bản miễn phí.

Để phòng chống triệt để loại tấn công này, quản trị viên cần lên kế hoạch rà soát ngay toàn bộ các máy chủ đang quản lý, đặc biệt là các máy chủ thuộc dạng public ra ngoài Internet, cần đặt mật khẩu mạnh, đồng thời tắt dịch vụ remote desktop cho máy chủ nếu không thực sự cần thiết. Trong trường hợp vẫn cần phải duy trì, cần giới hạn quyền truy cập, cấu hình chỉ cho các IP cố định, biết trước được phép remote vào.

Bkav phát hành công cụ miễn phí giúp các quản trị viên kiểm tra độ an toàn của server trước tấn công bruteforce mật khẩu dịch vụ remote desktop tại http://tools.whitehat.vn/online/84. Quản trị viên nhập địa chỉ IP của server để quét trực tiếp. Thời gian quét có thể lên tới 5 phút.

Hướng dẫn chi tiết cách cấu hình remote desktop an toàn để phòng chống kiểu tấn công này có tại https://whitehat.vn/threads/huong-dan-cau-hinh-remote-desktop-an-toan-ngan-chan-ma-doc-ma-hoa-du-lieu-w32-weakpass.11988/.

Nguồn: Bkav

Bảo vệ máy tính theo cách chuyên nghiệp 265k/năm

Call 0919 90 47 47 (Thầy Lâm)

Cảnh báo mã độc đào tiền ảo mới đang phát tán qua Facebook Messenger

Từ các đoạn video hấp dẫn được chia sẻ qua Facebook Messenger, các nhà nghiên cứu bảo mật đã phát hiện ra một mã độc đào tiền ảo mới đang tấn công người dùng.

Cách thức hoạt động của mã độc đào tiền ảo FacexWorm. - Ảnh: THE HACKER NEWS

Các nhà nghiên cứu bảo mật từ hãng Trend Micro vừa phát cảnh báo về một loại mã độc mới đang phát tán qua Facebook Messenger nhắm đến đối tượng là những người có tham gia chơi tiền ảo nhằm đánh cắp tài khoản của họ.

Mã độc này có tên là FacexWorm, núp bóng dưới dạng một tiện ích mở rộng của trình duyệt Chrome. FacexWorm hoạt động bằng cách gửi liên kết qua Facebook Messenger tới bạn bè của tài khoản Facebook bị ảnh hưởng để chuyển hướng nạn nhân đến phiên bản giả mạo của các trang web phát trực tuyến video phổ biến như YouTube.

Nếu liên kết video độc hại được mở bằng trình duyệt Chrome, FacexWorm sẽ chuyển hướng nạn nhân đến trang YouTube giả mạo. Tiếp đó, người dùng được khuyến khích tải xuống tiện ích mở rộng kiểu như một chương trình giải mã để Chrome tiếp tục phát video.

Nếu người dùng làm theo, FacexWorm sẽ được cài đặt vào máy và nó sẽ tự động tải xuống thêm nhiều thành phần khác từ máy chủ điều khiển từ xa để thực hiện các yêu cầu của kẻ tấn công.

Theo các nhà nghiên cứu, mã độc này có thể đánh cắp thông tin tài khoản từ các trang web như Google và các trang web tiền mã hóa, đồng thời chuyển hướng nạn nhân đến các chiến dịch lừa đảo; tiêm mã độc đào tiền lên các trang web và chuyển hướng nạn nhân đến liên kết của kẻ tấn công về các chương trình liên quan đến tiền mã hóa…

Trend Micro phát hiện FacexWorm đã thực hiện được ít nhất một giao dịch Bitcoin (trị giá 2,49 USD) cho đến ngày 19-4 vừa qua, nhưng họ vẫn chưa thể biết được chính xác kẻ tấn công đã kiếm được bao nhiêu tiền từ việc khai thác mã độc hại này.

Cũng theo các nhà nghiên cứu, tiền mã hóa mục tiêu mà FacexWorm nhắm đến bao gồm: Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC), và Monero (XMR).

FacexWorm đã được tìm thấy ở các nước như: Đức, Tunisia, Nhật Bản, Đài Loan, Hàn Quốc và Tây Ban Nha, nhưng vì Facebook Messenger được sử dụng trên toàn thế giới nên mã độc này có rất nhiều cơ hội để phát tán toàn cầu.

Nguồn: Tuổi trẻ Online

Hai triệu thiết bị Android dính mã độc

Có hơn 45 ứng dụng trên Play Store dính một loại malware mới và khoảng 2 triệu thiết bị đã lây nhiễm.

Trong khoảng thời gian 5 tháng, từ giữa năm 2016 đến đầu năm nay, một loại malware với tên mã FalseGuide đã ẩn trong 45 ứng dụng hướng dẫn chơi game trên Play Store và đạt mốc 50.000 lượt cài đặt.

Theo nhà nghiên cứu an ninh từ Check Point, các ứng dụng cho phép tin tặc điều khiển các thiết bị từ xa và không thể xóa. Mã độc được sử dụng để hiển thị những quảng cáo giả mạo, bất hợp pháp trong các thiết bị của người dùng.

Tuy nhiên, malware FalseGuide có thể được dùng như một "bot net". Tin tặc sử dụng chúng để thực hiện các cuộc tấn công trang web và hệ thống mạng.

Một ứng dụng hướng dẫn game bị nhiễm mã độc trên Play Store. Ảnh: Google Play

"Tùy thuộc vào mục tiêu của kẻ tấn công, các môđun này có thể chứa mã độc nhằm mục đích root thiết bị, tấn công DDoS, hoặc thậm chí xâm nhập vào các mạng riêng", đại diện Check Point cho biết.

Hơn nữa, cách dễ dàng nhận biết các ứng dụng chứa mã độc là quyền hạn cài đặt. Phần mềm độc hại luôn sử dụng quyền quản trị để tránh khả năng bị người dùng xóa một cách thủ công.

Hiện nay, các ứng dụng bị nhiễm mã độc trên đã được Google gỡ khỏi cửa hàng.

Nguồn: Zing

Mách bạn cách kiểm tra điện thoại Android có bị nhiễm malware Trung Quốc

Loại malware này đã khiến hơn 100.000 thiết bị tại Việt Nam bị nghi nhiễm. Nếu phân vân liệu mình có phải một trong số những nạn nhân của HummingBad, hãy tham khảo ngay bài viết dưới đây.

Ngày hôm qua, báo chí quốc tế đã rầm rộ đưa tin về một loại malware mới xuất phát từ Trung quốc có tên gọi HummingBad. Việt Nam nằm trong số 20 quốc gia bị ảnh hưởng nhiều nhất của loại malware này với hơn 100.000 thiết bị nghi nhiễm. Nếu bạn băn khoăn không rõ chiếc Android mình đang cầm trong tay có bị dính loại mã độc này không thì hãy làm theo những bước dưới đây.

Mặc dù các mã độc trên di động luôn khiến chúng ta bị ức chế, tuy nhiên các nhà phát triển ứng dụng luôn cố gắng hết sức để xử lý các vấn đề và đưa ra nhiều lựa chọn giúp bạn xóa sạch các loại malware này ra khỏi thiết bị. Nếu bạn chưa cài bất cứ  phần mềm diệt virus nào, hãy thử tải về các ứng dụng như Avast, Bidefender, AVG và Zone Alarm.

Nếu ứng dụng bạn đã cài đặt phát hiện ra các HummingBad, rất tiếc là chẳng còn cách nào khác, bạn buộc phải factory reset máy. Mặc dù cách này gây tổn thất khá lớn, nhưng đó là cách duy nhất để không khiến cho những dữ liệu của bạn gặp nguy hiểm. Sau khi loại bỏ được những phần mềm độc hại, đã đến lúc bạn thay đổi thói quen tải của bản thân. Nếu bạn tải một ứng dụng từ những nguồn không tin cậy trong một vài tuần trở lại đây, rất có thể bạn đã vô tình cài tự cài vào máy một HummingBad. Từ lần sau, hãy chỉ tải các phần mềm tại Google Play mà thôi.

Trong báo cáo an ninh, công ty CheckPoint còn nhận định rằng “xu hướng nguy hiểm này sẽ leo thang khi những nhóm hacker khác học theo Yingmob (nhóm tạo ra HummingBad) và tìm được những cách mới để tung ra những cuộc tấn công quy mô lớn hơn và tinh vi hơn trong tương lai”.

Theo ICT News

Phát hiện mã độc "CozyDuke"

Bộ phận Nghiên cứu và phân tích toàn cầu của Kaspersky Lab đã công bố bản báo cáo miêu tả một chiến dịch gián điệp mạng mới và tân tiến, sử dụng phần mềm độc hại để tấn công những tổ chức danh giá và chuyên biệt.

Những mục tiêu tại Hoa Kỳ có thể bao gồm cả Nhà Trắng và Bộ Ngoại giao Hoa Kỳ, các tổ chức chính phủ và cả những công ty tại Đức, Hàn Quốc và Uzbekistan.

Bên cạnh việc chỉ tấn công những cơ quan lớn, tổ chức này có những đặc điểm đáng lo ngại nhưng cũng khá thú vị, bao gồm việc sử dụng mật mã và chống lại việc nhận dạng. Ví dụ như đoạn mã có khả năng tấn công những sản phẩm bảo mật như Kaspersky Lab, Sophos, DrWeb, Avira, Crystal và Comodo Dragon. 

Liên hệ với những nhóm gián điệp mạng khác

Các chuyên gia tại Kaspersky Lab đã tìm ra chức năng hoạt động và sự giống nhau trong cấu trúc giữa CozyDuke và các chiến dịch gián điệp mạng khác như MiniDuke, CosmicDuke và OnionDuke. Kaspersky tin rằng CozyDuke được điều hành bởi một người nói tiếng Nga. Kaspersky đã quan sát và nhận thấy MiniDuke và CosmicDuke vẫn còn hoạt động và nhắm vào các tổ chức ngoại giao và đại sứ quán, các công ty năng lượng, dầu mỏ, viễn thông, quân đội và viện nghiên cứu ở một số nước.

Cách thức lan truyền

Mã độc CozyDuke thường tấn công giả mạo bằng email chứa đường link đến một website đã bị hack trước đó, thường nổi tiếng và hợp pháp như “diplomacy.pl” - chứa file nén có mã độc. Để đạt được mục đích, nhóm hacker này thường gửi những video dạng flash giả mạo, kèm mã độc dưới dạng tập tin đính kèm trong email.

CozyDuke sử dụng backdoor (khái niệm để chỉ một loại Trojan, sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra) và mã độc dropper. Chương trình có mã độc này gửi thông tin của mục tiêu đến server điều khiển và khôi phục lại tập tin cấu hình và các modules khác thực hiện những chức năng mà hacker cần.

Ông Kurt Baumgartner, nhà nghiên cứu bảo mật chính của Bộ phận Nghiên cứu và phân tích toàn cầu của Kaspersky Lab cho biết: “Chúng tôi đã theo dõi MiniDuke và CosmicDuke trong vài năm nay. Kaspersky Lab là tổ chức đầu tiên lên tiếng cảnh báo những cuộc tấn công MiniDuke vào năm 2013, vốn đã có những manh nha đầu tiên trước đó vào năm 2008. CozyDuke chắc chắn có liên hệ tới 2 chiến dịch kể trên, cũng như có mối liên quan tới OnionDuke. Những chiến dịch gián điệp mạng này sẽ tiếp tục theo dõi mục tiêu. Chúng tôi tin rằng những công cụ này được một người nói tiếng Nga tạo ra và quản lý.”

Những sản phẩm của Kaspersky Lab phát hiện ra những mã độc này và bảo vệ người dùng khỏi nguy cơ bị tấn công. Để tránh rơi vào các tình huống này, người dung có thể lưu ý một số mẹo sau:

• Không mở những tập tin đính kèm và đường link từ những người bạn không biết.

• Thường xuyên chạy phần mềm quét virus máy tính.

• Cẩn thận những file nén chứa file SFX bên trong.

• Nếu cảm thấy không chắc về tập tin đính kèm, hãy mở tập tin đó trong sandbox.

• Hãy cài phiên bản hệ điều hành mới nhất để đảm bảo không bị lỗi.

• Cập nhật các phần mềm từ bên thứ ba như Microsoft Office, Java, Adobe Flash Player và Adobe Reader.

Để biết thêm thông tin về CozyDuke, bạn có thể truy cập http://securelist.com/.

Nguồn: Echip