WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc Roaming Mantis mở rộng phạm vi hoạt động, nhắm tới thiết bị iOS
Mã độc Roaming Mantis, lây nhiễm điện thoại thông minh thông qua router Wi-Fi, đang lan rộng trên toàn thế giới sau khi xuất hiện lần đầu vào tháng 3/2018.
Thông qua tấn công DNS, phần mềm độc hại sử dụng các router bị xâm nhập để lây nhiễm điện thoại thông minh và máy tính bảng Android, chuyển hướng thiết bị iOS đến một trang web lừa đảo và chạy mã độc đào tiền mã hóa CoinHive trên máy tính để bàn và máy tính.
Cho đến nay, người dùng bị ảnh hưởng chủ yếu ở Nhật Bản, Hàn Quốc, Trung Quốc, Ấn Độ và Bangladesh. Tuy nhiên, Roaming Mantis đã bổ sung thêm nhiều ngôn ngữ khác - bao gồm tiếng Ả Rập, tiếng Nga và một loạt các ngôn ngữ ở châu Âu.
Roaming Mantis đã chọn hình thức đơn giản và hiệu quả nhất là tấn công DNS.
Mã độc tấn công các thiết lập của router bị xâm nhập và buộc chúng phải sử dụng máy chủ DNS giả mạo, nghĩa là người dùng sẽ được chuyển đến một trang web độc hại nếu sử dụng thiết bị kết nối với router bị xâm nhập.
Mặc dù lúc đầu chỉ ảnh hưởng đến các thiết bị Android, hiện nay mã độc đã thêm khả năng tấn công các thiết bị iOS.
Khi bị nhiễm mã độc, người dùng Android được khuyến cáo nhật trình duyệt, trước khi tải xuống ứng dụng độc hại giả mạo Chrome hoặc Facebook, vốn yêu cầu một loạt quyền và sử dụng các quyền này để xóa xác thực hai yếu tố và chiếm đoạt tài khoản Google.
Trong khi đó, người dùng iOS được chuyển hướng đến một trang web giả mạo của Apple có tên là security.apple.com và được yêu cầu nhập chi tiết đăng nhập, cũng như số thẻ ngân hàng.
"Đổi mới" cuối cùng là Roaming Mantis chạy một mã đào tiền mã hóa CoinHive trên máy tính để bàn và máy tính xách tay – chiếm đoạt tài nguyên máy tính để khai thác tiền mã hóa cho người tạo ra chúng.
Theo Kaspersky, tại thời điểm lần đầu xuất hiện, Roaming Mantis được thiết kế để phát tán chủ yếu ở các nước châu Á, với 98% thiết bị bị ảnh hưởng được cấu hình tiếng Hàn.
Nhưng việc mở rộng của Roaming Mantis cho thấy những kẻ sáng tạo muốn khai thác hiệu quả mã độc bằng cách thêm 24 ngôn ngữ khác và mở rộng phạm vi trên toàn cầu.
Để ngăn chặn Roaming Mantis, người dùng nên cài đặt phần mềm chống virus trên tất cả các thiết bị bị nhiễm. Sau khi gỡ bỏ mã độc này, người dùng nên thay đổi mật khẩu và hủy thẻ ngân hàng, thay đổi mật khẩu mặc định của router và cập nhật firmware, cũng như xác minh rằng địa chỉ máy chủ DNS của router khớp với địa chỉ do ISP cấp.
Thông qua tấn công DNS, phần mềm độc hại sử dụng các router bị xâm nhập để lây nhiễm điện thoại thông minh và máy tính bảng Android, chuyển hướng thiết bị iOS đến một trang web lừa đảo và chạy mã độc đào tiền mã hóa CoinHive trên máy tính để bàn và máy tính.
Cho đến nay, người dùng bị ảnh hưởng chủ yếu ở Nhật Bản, Hàn Quốc, Trung Quốc, Ấn Độ và Bangladesh. Tuy nhiên, Roaming Mantis đã bổ sung thêm nhiều ngôn ngữ khác - bao gồm tiếng Ả Rập, tiếng Nga và một loạt các ngôn ngữ ở châu Âu.
Roaming Mantis đã chọn hình thức đơn giản và hiệu quả nhất là tấn công DNS.
Mã độc tấn công các thiết lập của router bị xâm nhập và buộc chúng phải sử dụng máy chủ DNS giả mạo, nghĩa là người dùng sẽ được chuyển đến một trang web độc hại nếu sử dụng thiết bị kết nối với router bị xâm nhập.
Mặc dù lúc đầu chỉ ảnh hưởng đến các thiết bị Android, hiện nay mã độc đã thêm khả năng tấn công các thiết bị iOS.
Khi bị nhiễm mã độc, người dùng Android được khuyến cáo nhật trình duyệt, trước khi tải xuống ứng dụng độc hại giả mạo Chrome hoặc Facebook, vốn yêu cầu một loạt quyền và sử dụng các quyền này để xóa xác thực hai yếu tố và chiếm đoạt tài khoản Google.
Trong khi đó, người dùng iOS được chuyển hướng đến một trang web giả mạo của Apple có tên là security.apple.com và được yêu cầu nhập chi tiết đăng nhập, cũng như số thẻ ngân hàng.
"Đổi mới" cuối cùng là Roaming Mantis chạy một mã đào tiền mã hóa CoinHive trên máy tính để bàn và máy tính xách tay – chiếm đoạt tài nguyên máy tính để khai thác tiền mã hóa cho người tạo ra chúng.
Theo Kaspersky, tại thời điểm lần đầu xuất hiện, Roaming Mantis được thiết kế để phát tán chủ yếu ở các nước châu Á, với 98% thiết bị bị ảnh hưởng được cấu hình tiếng Hàn.
Nhưng việc mở rộng của Roaming Mantis cho thấy những kẻ sáng tạo muốn khai thác hiệu quả mã độc bằng cách thêm 24 ngôn ngữ khác và mở rộng phạm vi trên toàn cầu.
Để ngăn chặn Roaming Mantis, người dùng nên cài đặt phần mềm chống virus trên tất cả các thiết bị bị nhiễm. Sau khi gỡ bỏ mã độc này, người dùng nên thay đổi mật khẩu và hủy thẻ ngân hàng, thay đổi mật khẩu mặc định của router và cập nhật firmware, cũng như xác minh rằng địa chỉ máy chủ DNS của router khớp với địa chỉ do ISP cấp.
Theo ITnews