Phát hiện Malware tự sinh ra SÁU biến thể khác nhau chỉ với một lần kích hoạt

Các nhà nghiên cứu đã phát hiện ra một chiến dịch phần mềm độc hại malware mới và đặt tên là “Hornets Nest” (Tổ Ong Bắp Cày). Điểm đáng chú ý của malware này là nó sẽ khai triển ra 6 biến thể phần mềm độc hại khác nhau sau 1 lần kích hoạt. Chúng bao gồm các phần mềm đào tiền ảo, các phần mềm đánh cắp thông tin, phân mềm trộm tiền ảo và phần mềm backdoor.



Cuộc tấn công của Hornets Nest



Các nhà nghiên cứu của Deep Instinct đã phát hiện ra một cuộc tấn công bằng phần mềm malware . Phần mềm này được xây dựng đặc biệt để có thể gây hại cho cho các doanh nghiệp. Theo chi tiết được đăng tải trên blog của Deep Instinct, Hornets Nest đặc biệt vì chiến lược tấn công phá hoại của nó. Hornets Nest khá phức tạp nhưng chưa tinh vi như một chiến dịch Zero-day (là lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục). Tuy nhiên nó có thể phát triển thành 6 phần mềm gây hại khác trong một cuộc tấn công duy nhất với mục đích khai thác các lỗ hổng bảo mật .



Hornets Nest bắt đầu với “Legion Loader”. Đây là 1 phần mềm độc hại được viết bằng MS Visual C ++ 8 có rất nhiều VM/Sandbox và các tính năng khác để nằm ngoài tầm phát hiện của các nhà nghiên cứu. Tuy nhiên, phần mềm Legion Loader thiếu chuỗi mã hóa obfuscation.



Sau khi chạy, Legion Loader sẽ lây nhiễm vào máy nạn nhân phần mềm độc hại khác. Các phần mềm đó bao gồm các công cụ khai thác thương mại có sẵn như Vidar, Predator the Thief, phần mềm ăn trộm Racoon, phần mềm đào tiền ảo . Ngoài ra, nó cũng có 1 phần mềm đánh cắp tiền ảo tích hợp và backdoor RDP  mở đường cho các cuộc tấn công khác trong tương lai.



>> Backdoor là gì?



Có thể lên quan đến Nga



Các nhà nghiên cứu nhận thấy chiến dịch này khá ít phức tạp, có thể là do sự thiếu vắng các dòng lệnh mã hóa, việc phân tích cũng dễ dàng hơn. Sự hiện diện của phần mềm khai thác và phần mềm trộm tiền điện tử là một dấu hiệu rõ ràng cho mục đích kiếm tiền của Hornets Nest. Bên cạnh đó, các phần mềm đánh cắp thông tin sẽ đem lại lợi ích cho những kẻ tấn công về lâu dài. Các nhà nghiên cứu tin rằng cuộc tấn công có nhiều tác động như thế sẽ là một “cơn ác mộng” đối với các doanh nghiệp.



Trong khi nguồn gốc của cuộc tấn công chưa được xác định chính thức, việc phân tích đã chỉ ra phần mềm Legion Loader có liên quan đến Nga. Chiến dịch Hornets Nest chủ yếu nhắm đến Mỹ và Châu Âu, nơi mà các cuộc tấn công chủ yếu có 2 hoặc 3 phần mềm độc hại bao gồm cả phần mềm trộm tiền ảo và phần mềm thu thập thông tin trình duyệt.



Gần đây, Fortinet cũng chia sẻ chi tiết về một chiến dịch phần mềm malware tương tự nhắm vào các hệ thống Windows với hai RAT (Remote Access Trojan – troạn truy cập từ xa) cùng một lúc.



Nguồn: https://latesthackingnews.com/2019/12/23/researchers-uncovered-malware-that-drops-six-variants-in-one-hit/




Tin tức mới nhất về Malware: https://securitydaily.net/category/daily/ma-doc/

The post Phát hiện Malware tự sinh ra SÁU biến thể khác nhau chỉ với một lần kích hoạt appeared first on SecurityDaily .