Phát hiện biến thể mới của mã độc tống tiền Dharma

Thành Luân
Thành Luân
16/05/2019 11:00 GMT+7

Kể từ khi được phát hiện lần đầu vào năm 2016, mã độc Dharma đã không ngừng phát triển và liên tục “đòi tiền chuộc” từ người dùng internet trên toàn thế giới . Hiện tại, mã độc này đang có biến thể nguy hiểm mới.

Các chuyên gia bảo mật của Trend Micro đã phát hiện hình thái tấn công mới từ loại mã độc này: ngụy trang như một phần mềm an toàn để người dùng tải về máy, sau đó mới phát tán mã độc tống tiền. Cụ thể, mã độc sử dụng giao diện cài đặt của phần mềm diệt virus ESET, đây được xem như là cách “tung hỏa mù” của mã độc khiến nạn nhân mất cảnh giác.
Mã độc được các tin tặc phân tán trên mạng thông qua hình thức spam email có đính kèm Dharma lưu trữ dưới dạng nhị phân, mỗi email kèm theo mật khẩu riêng, trong đó sẽ có định dạng file là Defender.exe và có máy chủ đặt tại server của hacker link[.]fivetier[.]com.
Mật khẩu để mở tập độc hại đính kèm trong email spam cộng thêm cách tiếp cận được thiết kế khiến nạn nhân tò mò mở file và vô tình điều đó đã làm lây nhiễm mã độc Dharma trên máy của họ.
Một email spam phát tán Dharma Ảnh chụp màn hình
Mỗi khi file Defender.exe được nạn nhân bấm vào, nó sẽ hiển thị bằng giao diện cài đặt cũ của phần mềm diệt virus ESET dưới tên là Defender_nt32_othy.exe , và song song là một file taskhost.exe được thêm vào C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ đây chính là lúc Dharma khởi chạy và bắt đầu tiến trình mã hóa dữ liệu của nạn nhân cho mục đích tống tiền.
Thư mục được giải nén và xuất hiện taskhost.exe (mã độc Dharma) Ảnh chụp màn hình
Phần mềm diệt virus ESET do mã độc Dharma ngụy trang sẽ tiến cài hành cài đặt tự động khi được kích hoạt trong thư mục đã giải nén, trong lúc sự chú ý tập trung vào việc cài đặt thì mã độc Dharma sẽ mã hóa các nội dung một cách âm thầm mà nạn nhân không hề hay biết.
Theo như báo cáo từ các chuyên gia bảo mật Trend Micro về mã độc Dharma, “ Các mã độc này vẫn sẽ mã hóa file dữ liệu thậm chí không cần phải bắt đầu tiến trình cài đặt, mã độc gây hại này chạy trên một phiên bản khác với cài đặt phần mềm, vì vậy chúng gần như chẳng liên quan gì nhau”.
Làm thế nào để phòng chống mã độc?
Để chuẩn bị tốt nhất và phòng ngừa cho trường hợp bị mã độc Dharma tấn công, các chuyên gia bảo mật từ Trend Micro khuyên người dùng và các tổ chức nên có những phòng vệ như sau:
- Bảo vệ an toàn cổng email, không bấm vào những email không rõ nguồn gốc hoặc có vẻ đáng nghi ngờ.
- Thường xuyên sao lưu các dữ liệu trên máy tính.
- Luôn cập nhật thường xuyên phần mềm diệt virus phiên bản mới nhất, bao gồm cả bản vá.
- Thực thi nguyên tắc đặc quyền tối thiểu: Người dùng, máy tính hay ứng dụng chỉ được cấp các quyền hạn đủ để thực hiện yêu cầu, công việc của họ. Ngoài ra, kiểm soát chặt chẽ việc cấp thêm quyền hạn mới và thu hồi các quyền hạn không dùng tới.
- Bảo mật theo chiều sâu: bảo mật theo nhiều lớp luôn sẽ giúp nhiều cho việc kiểm soát ứng dụng và giám sát hành vi giúp ngăn chặn các sửa đổi không mong muốn hay khi mở những file bất thường.
- Phổ biến kiến thức an ninh sử dụng internet thường xuyên cho văn phòng làm việc.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.