WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Trojan ẩn trong file ảnh PNG tấn công các tổ chức y tế
Các tổ chức y tế tại Mỹ chiếm tỉ lệ lớn trong số các nạn nhân của Stegoloader, mã độc nhúng code vào các file ảnh PNG để vượt qua các cơ chế bảo vệ được triển khai trên mạng và trên máy chủ.
Bắc Mỹ là nơi có số lượng nạn nhân nhiều nhất, thuộc nhiều lĩnh vực khác nhau, như tài chính, sản xuất, xăng dầu, và công nghệ.
Mã độc được nuôi dưỡng ít nhất là từ năm 2013
Stegoloader được Dell SecureWorks phát hiện gần đây, còn được biết đến với tên Gatak (không liên quan đến mã độc ngân hàng Gataka). Stegoloader có cấu trúc bao gồm các module riêng biệt, giúp kẻ tấn công có thể mở rộng cũng như lựa chọn tính năng khi cần thiết.
Mã độc lần đầu tiên được phát hiện vào cuối năm 2013, nhưng không được nhiều người chú ý. Sau đó đã có thêm nhiều biến thể, và tất cả đều được thiết kế để đánh cắp thông tin từ những hệ thống bị lây nhiễm.
“Tác giả” của Trojan đã áp dụng steganography - kỹ thuật che giấu các nội dung và thông điệp trong ảnh kỹ thuật số, để cập nhật các file cấu hình và thậm chí là phát tán mã độc.
Mã độc trong file ảnh được phát tán tới các tổ chức y tế
Một thủ thuật khác được hacker sử dụng để không bị phát hiện là thực thi tất cả các mô-đun độc hại trong bộ nhớ máy tính. File ảnh PNG hoặc mã ảnh đã được tách và giải mã sẽ không được lưu vào ổ đĩa, không để lại dấu vết lây nhiễm trên đơn vị lưu trữ và ngăn chặn bị phát hiện qua phân tích nhận dạng trên đĩa.
Theo báo cáo của Dell, Trend Micro đã phân tích dữ liệu của mình và nhận thấy rằng 42.65% nạn nhân của Stegoloader là từ lĩnh vực y tế, và 12.81% là từ các tổ chức tài chính.
Bắc Mỹ là nơi có số lượng nạn nhân nhiều nhất, thuộc nhiều lĩnh vực khác nhau, như tài chính, sản xuất, xăng dầu, và công nghệ.
Mã độc được nuôi dưỡng ít nhất là từ năm 2013
Stegoloader được Dell SecureWorks phát hiện gần đây, còn được biết đến với tên Gatak (không liên quan đến mã độc ngân hàng Gataka). Stegoloader có cấu trúc bao gồm các module riêng biệt, giúp kẻ tấn công có thể mở rộng cũng như lựa chọn tính năng khi cần thiết.
Mã độc lần đầu tiên được phát hiện vào cuối năm 2013, nhưng không được nhiều người chú ý. Sau đó đã có thêm nhiều biến thể, và tất cả đều được thiết kế để đánh cắp thông tin từ những hệ thống bị lây nhiễm.
“Tác giả” của Trojan đã áp dụng steganography - kỹ thuật che giấu các nội dung và thông điệp trong ảnh kỹ thuật số, để cập nhật các file cấu hình và thậm chí là phát tán mã độc.
Mã độc trong file ảnh được phát tán tới các tổ chức y tế
Một thủ thuật khác được hacker sử dụng để không bị phát hiện là thực thi tất cả các mô-đun độc hại trong bộ nhớ máy tính. File ảnh PNG hoặc mã ảnh đã được tách và giải mã sẽ không được lưu vào ổ đĩa, không để lại dấu vết lây nhiễm trên đơn vị lưu trữ và ngăn chặn bị phát hiện qua phân tích nhận dạng trên đĩa.
Theo báo cáo của Dell, Trend Micro đã phân tích dữ liệu của mình và nhận thấy rằng 42.65% nạn nhân của Stegoloader là từ lĩnh vực y tế, và 12.81% là từ các tổ chức tài chính.
Nguồn: Softpedia