Mặc dù cuộc điều tra vẫn đang diễn ra, tuy nhiên Kaspersky đã công bố một số thông tin về chiến dịch này. Được đặt tên là ShadowHammer, chiến dịch được phát hiện vào tháng 1/2019. Đây là hình thức tấn công chuỗi cung ứng tinh vi liên quan đến ASUS Live Update Utility. Tuy nhiên, trong thực tế chiến dịch này đã bắt nguồn từ tháng 6 - 11/2018 gây ảnh hưởng đến số lượng lớn người dùng.
ASUS Live Update Utility là tiện ích được cài đặt trên hầu hết các máy tính ASUS và được sử dụng để tự động cập nhật một số thành phần như BIOS, UEFI, drivers và ứng dụng. Theo Gartner, ASUS là hãng cung cấp máy tính lớn thứ 5 trên thế giới về doanh số trong năm 2017. Điều này làm cho ASUS trở thành mục tiêu của tin tặc.
Ngày 31/1/2019, Kaspersky đã thông báo cho ASUS về sự việc này. Tuy nhiên, tính tới thời điểm hiện tại, ASUS phủ nhận việc chủ đích phát tán mã độc và cho biết sẽ phát hành thông báo chính thức sau đó. Ước tính tới thời điểm hiện tại, số lượng máy tính bị lây nhiễm đã lên tới 1 triệu máy. Mã độc này được ngụy trang dưới bản cập nhật phần mềm quan trọng, phát tán từ máy chủ của ASUS và được ký bằng chứng thư số hợp lệ từ chính ASUS. Điều này làm cho mã độc dễ dàng vượt qua các phần mềm antivirus. Vì vậy, cuộc tấn công này được đánh giá có mức độ tinh vi hơn cả Shadowpad và CCleaner.
Theo các chuyên gia, mặc dù chưa xác định được động cơ của chiến dịch này, tuy nhiên, dường như tin tặc nhắm vào một số khách hàng cụ thể. Nguyên nhân, mã độc được phát hiện bao gồm hướng dẫn đặc biệt cho 600 máy tính được xác định thông qua các địa chỉ MAC. Sau khi bị lây nhiễm, mã độc sẽ cài thêm các chương trình độc hại khác để can thiệp vào hệ thống. Thông tin chi tiết về chiến dịch này sẽ được Kaspersky công bố tại Hội nghị SAS 2019 tại Singapore.
Hiện tại, Kaspersky đã phát hành 1 công cụ cho phép người dùng xác định máy tính có là mục tiêu tấn công của tin tặc hay không. Người dùng có thể truy cập tại đây và nhập địa chỉ MAC để kiểm tra độ trùng khớp.
Mã độc này được đặt tên Trojan.Win32.ShadowHammer.gen. Một số thông tin định danh về mã độc:
Tên miền và IP:
Các URL phân phối:
Mã băm:
Đây không phải là lần đâu tiên hình thức tấn công này được phát hiện. Trước đó, vào tháng 9/2017, phần mềm dọn dẹp máy tính CCleaner chứa mã độc được phát tán khiến gần 2,3 triệu người dùng bị ảnh hưởng. Khi đó, Avast đã nhanh chóng phát hành phiên bản 5.34 và khuyến cáo tới người dùng cách gỡ bỏ, khôi phục lại hệ thống khi sử dụng phiên bản 5.33.
Trí Công
Theo securelist
15:00 | 02/05/2018
16:00 | 17/05/2019
07:00 | 26/06/2023
14:00 | 22/09/2017
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
10:00 | 07/05/2024