Coi chừng có virus trong email đính kèm file lạ

Thứ năm, 24/01/2013, 10:26 GMT+7

Một chiến dịch gián điệp ảo tập đang trung vào việc xâm nhập máy tính để lấy cắp dữ liệu của người dùng cá nhân, doanh nghiệp và các tổ chức. Đây là nội dung chính trong báo cáo nghiên cứu mới vừa được Kaspersky Lab công bố.

Phần mềm độc hại

Theo người đại diện của Kaspersky Lab, hồi tháng 10/2012, nhóm chuyên gia của Kaspersky Lab đã theo dõi hàng loạt vụ tấn công vào mạng lưới máy tính của các tổ chức ngoại giao quốc tế. Trong đó, Operation Red October (ROCRA) vẫn còn hoạt động đến tháng 1/2013, từ năm 2007; chúng đã thiết kế phần mềm độc hại Rocra có khả năng lấy cắp thông tin và chạy ẩn. Đặc biệt, chúng thường sử dụng các thông tin từ các mạng bị nhiễm để xâm nhập vào các hệ thống bổ sung. Chẳng hạn, dò password từ những thông tin mà chúng đã lấy cắp.

Để kiểm soát mạng lưới các máy tính bị nhiễm, hacker đã tạo ra hơn 60 tên miền và một số máy chủ ở nhiều nước, nhất là ở Đức và Nga.

Phần mở rộng (phần đuôi của file) của các file thông tin bị hacker lấy cắp, gồm: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.

Để lây nhiễm hệ thống, hacker gửi một email lừa đảo đến nạn nhân và đính kèm phần mềm độc hại (Trojan Dropper). Một khi nạn nhân không biết và mở ở máy tính không có phần mềm diệt virus thì máy tính sẽ bị nhiễm mã độc, từ đó chúng khai thác các lỗ hổng bảo mật bên trong Microsoft Office và Microsoft Excel.

Cách phân tích của Kaspersky Lab

Theo tiết lộ của Kaspersky Lab, các chuyên gia của họ đã sử dụng 2 phương pháp để phân tích các mục tiêu bị tấn công.

Đầu tiên, họ sử dụng số liệu thống kê phát hiện từ Kaspersky Network (KSN) là dịch vụ bảo mật dựa trên công nghệ điện toán đám mây có trong các sản phẩm Kaspersky Lab để báo cáo từ xa và cung cấp bảo vệ cho mối đe dọa cấp cao trong các hình thức danh sách đen (blacklists) và các quy tắc dựa trên kinh nghiệm cải tiến (heuristic rules).

Tiếp theo, họ tạo ra máy chủ ảo skinhole server để theo dõi các máy tính đã bị nhiễm kết nối với máy chủ của Rocra.

Ngoài máy tính, phần mềm độc hại cũng có khả năng lấy cắp dữ liệu từ các thiết bị di động, như smartphone, máy tính bảng; thậm chí chúng có thể lấy cắp thông tin cấu hình trong các thiết bị mạng doanh nghiệp, như các thiết bị định tuyến, chuyển mạch, khôi phục các file bị xóa từ thiết bị lưu trữ gắn ngoài.

Hiện tai, Kaspersky Lab đang tiếp tục điều tra về Rocra, cung cấp các nguồn lực để khắc phục và giảm thiểu thiệt hại, hợp tác với các tổ chức quốc tế, các cơ quan thực thi pháp luật và trung tâm ứng cứu khẩn cấp máy tính (CERTs).


CAO KIẾN NAM

Viết phản hồi



 Ẩn email của tôi
 

Giới hạn tin theo ngày :   từ   đến