WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lập trình viên Brazil tạo ra mã độc xuyên nền tảng bằng tập tin JAR
Thời điểm người dùng Mac và Linux lo sợ đã đến khi lượng mã độc khổng lồ trên Windows có thể tràn vào hệ điều hành của họ qua các mối đe dọa xuyên nền tảng.
Như đã biết, các tập tin JAR Java chạy trên cả ba nền tảng Mac, Linux và Windows, thậm chí trên cả các thiết bị Android trong điều kiện đặc biệt.
Bằng cách đóng gói mã độc như một tập tin JAR, kẻ gian có thể thực thi nội dung độc hại trên tất cả các mục tiêu, bất kể hệ điều hành, điều vốn không thể thực hiện ngày nay.
Hiện tại, những kẻ khai thác mã độc cần phải tạo ra một phiên bản mã độc khác cho mỗi hệ điều hành, có tính đến sự khác biệt giữa mỗi nền tảng, điều mà Java Runtime Environment (JRE – Môi trường thực thi Java) đã khắc phục rất lâu trước đây.
Điều này có nghĩa là JRE cần phải được cài trên mỗi máy tính nạn nhân để thực thi mã độc, và trong hầu hết trường hợp, JRE được cài trên 70-80% máy tính toàn thế giới, theo các nguồn thống kê khác nhau.
Lập trình viên Brazil đã tạo ra mã độc đa nền tảng
Theo Kaspersky, tội phạm ngầm của Brazil có vẻ là người đầu tiên thực hiện điều này. Thú vị hơn, đây không phải là công việc của một đội ngũ lập trình, mà là những băng nhóm tội phạm khác nhau ở Brazil, tiến hành thử nghiệm các tập tin JAR cho mã độc của mình.
Cho đến giờ, Kaspersky đã thấy hai chiến dịch thư rác khác nhau phát tán các tập tin JAR độc hại, hoặc các tập tin JAR được đặt trong kho lưu trữ. Những mối đe dọa này được phát hiện dưới tên Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload, và Trojan-Downloader.Java.Agent.
Tin xấu là việc phát hiện mã độc trong máy quét virus khá thấp, nhưng tin tốt là đây không phải “mã độc” thật, mà chỉ là những dropper đơn giản (mã độc trung gian hỗ trợ cài đặt các mã độc khác lên hệ thống mục tiêu).
Dropper xuyên nền tảng chỉ là bước khởi đầu
Dropper là một nguy cơ đơn giản với ít tính năng độc hại nên có thể tránh bị phần mềm diệt virus phát hiện. Vai trò chính của nó là có được một chỗ đứng trong hệ thống và tải về mã độc thực sự từ một máy chủ C&C.
Về mặt lý thuyết, có những dropper xuyên nền tảng giống như là có mã độc xuyên nền tảng vì một khi dropper đã xâm nhập được hệ thống của người dùng, nó sẽ tải về các mã độc có thể dễ dàng tiến hành khai thác.
Kaspersky cho biết những chiến dịch do các băng nhóm tội phạm mạng ở Brazil thực hiện đang phát tán trojan ngân hàng. Các nhóm chỉ phát triển một dropper xuyên hệ điều hành ở thời điểm này và vẫn phát tán trojan ngân hàng của mình.
Tất nhiên, lý do duy nhất để chưa có một trojan ngân được gói trong tập tin JAR xuyên nền tảng là do các nhóm vẫn chưa phát triển nó. Tuy nhiên, đó chỉ là vấn đề thời gian.
Hiện tại, các trường hợp bị nhiễm ba họ mã độc sử dụng tập tin JAR chủ yếu là ở Brazil, nhưng một số lượng lớn nạn nhân cũng được ghi nhận ở Trung Quốc và Đức, nơi mà theo Kaspersky, các băng nhóm tội phạm địa phương cũng đang thử nghiệm kỹ thuật đóng gói tập tin JAR tương tự.
Theo Softpedia
Như đã biết, các tập tin JAR Java chạy trên cả ba nền tảng Mac, Linux và Windows, thậm chí trên cả các thiết bị Android trong điều kiện đặc biệt.
Bằng cách đóng gói mã độc như một tập tin JAR, kẻ gian có thể thực thi nội dung độc hại trên tất cả các mục tiêu, bất kể hệ điều hành, điều vốn không thể thực hiện ngày nay.
Hiện tại, những kẻ khai thác mã độc cần phải tạo ra một phiên bản mã độc khác cho mỗi hệ điều hành, có tính đến sự khác biệt giữa mỗi nền tảng, điều mà Java Runtime Environment (JRE – Môi trường thực thi Java) đã khắc phục rất lâu trước đây.
Điều này có nghĩa là JRE cần phải được cài trên mỗi máy tính nạn nhân để thực thi mã độc, và trong hầu hết trường hợp, JRE được cài trên 70-80% máy tính toàn thế giới, theo các nguồn thống kê khác nhau.
Lập trình viên Brazil đã tạo ra mã độc đa nền tảng
Theo Kaspersky, tội phạm ngầm của Brazil có vẻ là người đầu tiên thực hiện điều này. Thú vị hơn, đây không phải là công việc của một đội ngũ lập trình, mà là những băng nhóm tội phạm khác nhau ở Brazil, tiến hành thử nghiệm các tập tin JAR cho mã độc của mình.
Cho đến giờ, Kaspersky đã thấy hai chiến dịch thư rác khác nhau phát tán các tập tin JAR độc hại, hoặc các tập tin JAR được đặt trong kho lưu trữ. Những mối đe dọa này được phát hiện dưới tên Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload, và Trojan-Downloader.Java.Agent.
Tin xấu là việc phát hiện mã độc trong máy quét virus khá thấp, nhưng tin tốt là đây không phải “mã độc” thật, mà chỉ là những dropper đơn giản (mã độc trung gian hỗ trợ cài đặt các mã độc khác lên hệ thống mục tiêu).
Dropper xuyên nền tảng chỉ là bước khởi đầu
Dropper là một nguy cơ đơn giản với ít tính năng độc hại nên có thể tránh bị phần mềm diệt virus phát hiện. Vai trò chính của nó là có được một chỗ đứng trong hệ thống và tải về mã độc thực sự từ một máy chủ C&C.
Về mặt lý thuyết, có những dropper xuyên nền tảng giống như là có mã độc xuyên nền tảng vì một khi dropper đã xâm nhập được hệ thống của người dùng, nó sẽ tải về các mã độc có thể dễ dàng tiến hành khai thác.
Kaspersky cho biết những chiến dịch do các băng nhóm tội phạm mạng ở Brazil thực hiện đang phát tán trojan ngân hàng. Các nhóm chỉ phát triển một dropper xuyên hệ điều hành ở thời điểm này và vẫn phát tán trojan ngân hàng của mình.
Tất nhiên, lý do duy nhất để chưa có một trojan ngân được gói trong tập tin JAR xuyên nền tảng là do các nhóm vẫn chưa phát triển nó. Tuy nhiên, đó chỉ là vấn đề thời gian.
Hiện tại, các trường hợp bị nhiễm ba họ mã độc sử dụng tập tin JAR chủ yếu là ở Brazil, nhưng một số lượng lớn nạn nhân cũng được ghi nhận ở Trung Quốc và Đức, nơi mà theo Kaspersky, các băng nhóm tội phạm địa phương cũng đang thử nghiệm kỹ thuật đóng gói tập tin JAR tương tự.
Theo Softpedia