w88 apkE-mail mạo danh Thủ tướng phát tán mã độc
Bkav vừa đưa ra cảnh báo về 2 e-mail đáng ngờ với tiêu đề có nội dung quan trọng.
 |
| E-mail giả mạo Thủ tướng lừa người dùng để cài mã độc. |
Thông tin cho biết các e-mail này được gửi từ địa chỉ thuhuyenvpcp@gmail.com với tiêu đề “Thông báo kết luận w88 apk Thủ tướng Nguyễn Tấn Dũng tại cuộc họp 03.6 về Luật ĐƯQT” và địa chỉ phamhongsambtctw@gmail.com, tiêu đề “Thấy gì từ Hội nghị TW 11”.
Trong e-mail gửi đến không có nội dung mà chỉ có một file Word đính kèm giống với tiêu đề w88 apk thư. Nghiên cứu w88 apk Bkav cho biết e-mail có chứa mã độc và có khả năng lây lan khi người dùng mở file đính kèm.
Cảnh báo từ Blav cho biết tin tặc đã sử dụng địa chỉ IP giả khiến việc giám sát mạng thông thường không thể phát hiện ra địa chỉ máy chủ thật w88 apk hacker. Mã độc ẩn nấp trong file văn bản, được điều khiển qua domain từ Trung Quốc
Theo Bkav, đây là một loại mã độc điều khiển từ xaRAT (Remote Access Trojan), mở cổng hậu trên thiết bị w88 apk nạn nhân và cho phép hacker truy cập điều khiển từ xa (Remote Access). Virus ẩn nấp trong file văn bản được điều khiển qua domain (tên miền) w88 apk một công ty Trung Quốc đăng ký. Hacker khai thác lỗ hổng CVE-2012-0158 w88 apk Microsoft Office để chèn mã độc vào tập tin văn bản. Người sử dụng sau khi tải, mở tập tin này, virus sẽ cài 3 thành phần độc hại vào hệ thống w88 apk thiết bị, bao gồm LMS.exe; dbghelp.dll và ticrf.rat. Trong đó LMS.exe là một file chuẩn w88 apk Google Chrome bị lợi dụng với mục đích load và thực thi code w88 apk virus. Khi người dùng bình thường sẽ khó có thể phát hiện ra được virus đang chạy trên máy vì nó được chạy ngầm trong chương trình LMS.exe chuẩn w88 apk Google. Với dbghelp.dll, đây là thư viện w88 apk virus có tên trùng với một thư viện w88 apk Google. Mục đích là khi file này đặt cùng thư mục với file “LMS.exe” thì sẽ được file “LMS.exe” tự động load và thực thi thư viện này. Mục đích w88 apk file này là sẽ đọc code virus chính trong file “ticrf.rat”, giải mã và thực thi code. Trong khi đó, ticrf.rat là file data có chứa toàn bộ mã độc chính w88 apk virus. File này được nén và mã hóa. Nhìn bình thường thì ta sẽ chỉ có thể biết đây là một file dữ liệu rác bình thường. Nhưng khi được file dbghelp.dll giải mã thì ta sẽ thấy toàn bộ các hành vi độc hại w88 apk virus được chứa trong file này.
 |
| Giám sát mạng thông thường không thể phát hiện ra máy chủ điều khiển w88 apk hacker. |
Theo Bkav, khi được khởi chạy, virus sẽ kết nối tới C&C Server (máy chủ điều khiển) có địa chỉ “home.dubkill.com.” Tên miền này được đăng ký bởi một công ty w88 apk Trung Quốc. Địa chỉ IP w88 apk máy chủ điều khiển được hacker che giấu bằng địa chỉ giả (127.0.01), khi nào cần điều khiển sẽ cập nhật địa chỉ IP chính xác w88 apk máy chủ điều khiển thông qua việc update bản ghi DNS, kỹ thuật này được sử dụng để tránh bị phát hiện bởi các công cụ phân tích mạng và cho phép hacker thay đổi địa chỉ IP máy chủ điều khiển tùy ý ở từng thời điểm. Với kỹ thuât này, việc giám sát mạng thông thường không thể phát hiện ra chính xác máy chủ điều khiển w88 apk hacker. Điều này chỉ có thể thực hiện khi đọc mã nguồn w88 apk virus.
“Việc mở một cổng hậu nhận lệnh điều khiển từ xa, cho phép hacker kiểm soát, chiếm quyền điều khiển máy tính w88 apk nạn nhân. Như vậy, tin tặc có thể thu thập dữ liệu, ghi các thao tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại… w88 apk máy tính nạn nhân”, ông Ngô Tuấn Anh, Phó chủ tịch phụ tráchan ninhmạng w88 apk Bkav nhận xét.
Bkav cho biết mã nguồn w88 apk virus này tương tự với virus “Biển đông” tháng 7/2014. Đồng thời máy chủ điều khiển cũng cùng thuộc tên miền dubkill.com (máy chủ điều khiển vụ 7/2014 là moit.dubkill.com). Như vậy có thể thấy đây vẫn 1 nhóm, âm thầm tấn công trong 1 năm qua.
Bkav khuyến cáo người dùng cần cập nhật bản vá Microsoft Office trên máy, nên mở các file văn bản nhận từ Internet trong môi trường cách ly và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động.