Các nhà nghiên cứu đến từ hãng bảo mật FireEye đã phát hiện ra một mối đe dọa mới sử dụng kĩ thuật giám sát các cú click chuột để xác định cách thức tương tác của người dùng trên máy tính nhiễm độc.
Có tên gọi Trojan.APT.BaneChant, phần mềm độc hại này được phân phối thông qua các tài liệu Word gửi qua email với tên là Islamic Jihad.doc. Theo nhà nghiên cứu Chong Rong Hwa của FireEye thì nhiều khả năng tài liệu này được sử dụng để nhắm mục tiêu vào các chính phủ ở khu vực Trung Đông và Trung Á.
Cuộc tấn công sẽ hoạt động trong nhiều giai đoạn. Hệ thống sẽ tải tài liệu độc hại, sau đó thực hiện một thành phần lệnh cố gắng xác định xem môi trường hoạt động của hệ thống là gì, chẳng hạn như ảo hóa hoặc một hệ thống phân tích phần mềm độc hại tự động, trước khi tiến hành giai đoạn tấn công thứ hai nếu xuất hiện hoạt động nhấp chuột.
Theo dõi nhấp chuột không phải là một kĩ thuật mới, nhưng phần mềm độc hại tương tự trong quá khứ thường chỉ kiểm tra một cú nhấp chuột duy nhất, trong khi phần mềm độc hại mới lại chờ ít nhất 3 cú nhấp chuột trước khi giải mã một URL và tải về một chương trình cửa hậu (backdoor) giả dạng một tập tin hình ảnh JPG.
Bên cạnh đó, phần mềm độc hại này cũng sử dụng phương pháp ẩn khác. Ví dụ, trong giai đoạn đầu tiên của cuộc tấn công, tài liệu độc hại sẽ tải các thành phần nhỏ giọt từ địa chỉ ow.li. Ow.li không phải là tên miền độc hại mà là một dịch vụ rút gọn URL. Lí do đằng sau việc này là để bỏ qua danh sách URL đen trên máy tính hoặc mạng lưới mục tiêu.
Tương tự như vậy, trong giai đoạn thứ 2 của cuộc tấn công, các tập tin JPG độc hại sẽ được tải về từ một URL đã tạo ra với hệ thống tên miền dịch vụ Dynamic Domain Name System (DNS) IP ẩn.
Sau khi được nạp bởi các thành phần đầu tiên, tập tin JPG sẽ tải xuống một bản sao của tập tin GoogleUpdate.exe vào trong thư mục C:\ProgramData\Google2\. Nó cũng tạo ra một liên kết đến các tập tin trong thư mục Startup của người dùng để đảm bảo nó tiếp tục chạy sau mỗi lần máy tính khởi động lại.
“Đây là một nỗ lực để lừa người dùng tin rằng các tập tin sinh ra là một phần của dịch vụ Google Update, một chương trình hợp pháp thường được cài đặt trong thư mục C:\Program Files\Google\Update\”, ông Rong Hwa nói thêm.
Chương trình cửa hậu này sẽ tập hợp và cập nhật thông tin hệ thống về các máy chủ ra lệnh và kiểm soát. Nó cũng làm việc với một số lệnh, trong đó có lệnh tải về và thực hiện bổ sung các tập tin trên máy tính bị nhiễm bệnh.
Cũng theo ông Rong Hwa, các phần mềm độc hại đã sử dụng một số thủ thuật tiên tiến có thể trốn tránh sự phân tích từ các phần mềm bảo mật bằng cách cách phát hiện hành vi con người, không sử dụng các lệnh nhị phân bằng cách sử dụng lệnh mã hóa các tập tin thực thi, giả mạo như là một quá trình hợp pháp, thoát khỏi sự phân tích bằng cách sử dụng mã độc hại được nạp trực tiếp vào bộ nhớ và chặn danh sách tên miền tự động thông qua cách thức sử dụng chuyển hướng từ các địa chỉ URL rút gọn và các dịch vụ DNS động.
Theo NLĐ/PCWorld
Bình luận