Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tống tiền giả mạo Pokemon GO cài đặt backdoor trên thiết bị
Chỉ là vấn đề thời gian để một hacker “lành nghề” lợi dụng độ hot của Pokemon GO nhằm tạo ra một mã độc tống tiền “ăn theo” trò chơi đình đám này.
Tin xấu là kẻ đứng sau mã độc mới không hài lòng với việc chỉ phát tán một mã độc tống tiền thông thường mà còn quan tâm đến kịch bản lọc dữ liệu, cũng như tạo một tài khoản backdoor trên các thiết bị lây nhiễm.
Mã độc được phát hiện bởi chuyên gia an ninh Michael Gillespie và bị đánh sập bởi Bleeping Computer. Có vẻ như mã độc tống tiền này đang trong quá trình phát triển, chuẩn bị cho một chiến dịch phát tán lớn.
Mã độc giả dạng tập tin PokemonGo.exe
Kẻ đứng sau ransomeware đang phát tán mã độc qua một tập tin thực thi Windows có tên PokemonGo.exe. Tập tin này có icon là hình ảnh nhân vật Pikachu vô cùng đáng yêu.
Khi người dùng click vào tập tin, mã độc tống tiền sẽ bắt đầu quá trình mã hóa. Các chuyên gia cho biết mã độc dựa trên dự án Hidden Tear – mã độc tống tiền nguồn mở chứa backdoor mã hóa xuất hiện năm ngoái.
Sau khi mã hóa các tập tin của người dùng, mã độc thêm một khóa registry và che giấu một tài khoản quản trị Windows có tên "Hack3r".
Để đảm bảo có thể tồn tại trong trường hợp người dùng reboot lại máy tính, mã độc tống tiền tự sao chép vào thư mục gốc của toàn bộ các ổ đĩa cố định và thêm autorun để tự khởi động.
Bên cạnh đó, mã độc cũng sẽ tìm kiếm các ổ đĩa di động, sao chép và thêm một tập tin autorun để có thể thực thi khi người dùng cắm ổ đĩa di động vào một máy tính khác.
Mã độc đang trong quá trình phát triển
Các chuyên gia tin rằng đây mới chỉ là phiên bản thử nghiệm bởi hệ thống mã hóa của mã độc sử dụng một khóa mã hóa tĩnh của "123vivalalgerie" và cố kết nối tới một máy chủ C&C đặt tại địa chỉ IP 10.25.0.169. Địa chỉ IP này không thể truy cập được qua mạng Internet, mà là địa chỉ riêng sử dụng trong các mạng định tuyến riêng tư.
Thời điểm hiện tại, màn hình hiển thị và thông báo đòi tiền chuộc được viết bằng tiếng Ả Rập.
Nếu trong thời gian tới xuất hiện các biến thể mã độc giả mạo liên quan tới Pokemon hay Pikachu, người dùng có thể xác định đã bị nhiễm mã độc tống tiền này hay chưa qua thông báo đòi tiền chuộc. Thông báo này yêu cầu nạn nhân liên hệ với hacker qua email tại [email protected].
Tin xấu là kẻ đứng sau mã độc mới không hài lòng với việc chỉ phát tán một mã độc tống tiền thông thường mà còn quan tâm đến kịch bản lọc dữ liệu, cũng như tạo một tài khoản backdoor trên các thiết bị lây nhiễm.
Mã độc được phát hiện bởi chuyên gia an ninh Michael Gillespie và bị đánh sập bởi Bleeping Computer. Có vẻ như mã độc tống tiền này đang trong quá trình phát triển, chuẩn bị cho một chiến dịch phát tán lớn.
Mã độc giả dạng tập tin PokemonGo.exe
Kẻ đứng sau ransomeware đang phát tán mã độc qua một tập tin thực thi Windows có tên PokemonGo.exe. Tập tin này có icon là hình ảnh nhân vật Pikachu vô cùng đáng yêu.
Khi người dùng click vào tập tin, mã độc tống tiền sẽ bắt đầu quá trình mã hóa. Các chuyên gia cho biết mã độc dựa trên dự án Hidden Tear – mã độc tống tiền nguồn mở chứa backdoor mã hóa xuất hiện năm ngoái.
Sau khi mã hóa các tập tin của người dùng, mã độc thêm một khóa registry và che giấu một tài khoản quản trị Windows có tên "Hack3r".
Để đảm bảo có thể tồn tại trong trường hợp người dùng reboot lại máy tính, mã độc tống tiền tự sao chép vào thư mục gốc của toàn bộ các ổ đĩa cố định và thêm autorun để tự khởi động.
Bên cạnh đó, mã độc cũng sẽ tìm kiếm các ổ đĩa di động, sao chép và thêm một tập tin autorun để có thể thực thi khi người dùng cắm ổ đĩa di động vào một máy tính khác.
Mã độc đang trong quá trình phát triển
Các chuyên gia tin rằng đây mới chỉ là phiên bản thử nghiệm bởi hệ thống mã hóa của mã độc sử dụng một khóa mã hóa tĩnh của "123vivalalgerie" và cố kết nối tới một máy chủ C&C đặt tại địa chỉ IP 10.25.0.169. Địa chỉ IP này không thể truy cập được qua mạng Internet, mà là địa chỉ riêng sử dụng trong các mạng định tuyến riêng tư.
Thời điểm hiện tại, màn hình hiển thị và thông báo đòi tiền chuộc được viết bằng tiếng Ả Rập.
Nếu trong thời gian tới xuất hiện các biến thể mã độc giả mạo liên quan tới Pokemon hay Pikachu, người dùng có thể xác định đã bị nhiễm mã độc tống tiền này hay chưa qua thông báo đòi tiền chuộc. Thông báo này yêu cầu nạn nhân liên hệ với hacker qua email tại [email protected].
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: