Biến thể mới của trojan Emotet có khả năng lây lan nhanh như sâu máy tính

09:54 | 07/08/2017 | HACKER / MALWARE

Các nhà nghiên cứu của công ty an ninh mạng Fidelis (Mỹ) đã phát hiện ra một biến thể mới của trojan Emotet với khả năng lây lan nhanh chóng trong mạng nội bộ như sâu máy tính.

Biến thể mới của trojan Emotet có khả năng lây lan nhanh như sâu máy tính

Các cuộc tấn công của mã độc WannaCry hay Petya mới đây đã cho thấy sự hiệu quả của tấn công khi mã độc có khả năng tự lây lan từ hệ thống này sang hệ thống khác. Vì sự thành công của các cuộc tấn công này, tội phạm mạng sẽ tìm cách tích hợp khả năng lây lan tương tự vào phần mềm độc hại của chúng.

Mã độc Emotet (còn gọi là Geodo) có liên quan đến chủng mã độc Dridex và Feodo (Cridex, Bugat). Emotet là một trojan với mục đích chính là ăn cắp thông tin ngân hàng và các thông tin quan trọng khác của người dùng. Trong các cuộc tấn công mà Fidelis đã quan sát gần đây, Emotet đóng vai trò như một trình tải về cho một số trojan ngân hàng khác dựa trên vị trí địa lý của nạn nhân.

Theo báo cáo của Fidelis, tính năng tự lây lan mới của Emotet trong các cuộc tấn công mới đây đã giúp mã độc này có khả năng thống kê tài nguyên mạng, xác định những nơi muốn lây lan để viết tập tin và tạo phần mềm dịch vụ điều khiển từ xa (có tên là “Windows Defender System Service”). Phần mềm này sẽ gắn phần mềm độc hại vào hệ thống và thực thi. Nếu tài nguyên mạng được bảo vệ bằng mật khẩu, phần mềm độc hại sẽ khởi chạy tấn công từ điển để tìm cách truy cập vào các tài khoản người dùng hay tài khoản admin.

Theo các nhà nghiên cứu, tính năng tự lây lan trong biến thể mới của Emotet khác với các biến thể trước của mã độc này, có nghĩa rằng đây không phải là tính năng trực tiếp của Emotet. Theo Fidelis, với xu hướng bổ sung tính năng lây lan như sâu máy tính của các mã độc tống tiền gần đây, thật không ngạc nhiên khi các chủng mã độc khác bắt đầu bổ sung các tính năng tương tự. Đây có thể là xu hướng tiếp theo của các phần mềm độc hại trong tương lai.

‹ › ×

Tin liên quan

Tin tặc sử dụng kỹ thuật mới để phát tán phần mềm độc hại Emotet

08:00 | 23/05/2022

Theo nghiên cứu của các chuyên gia từ nhà cung cấp an ninh mạng Proofpoint (California), nhóm tin tặc điều hành mạng botnet Emotet đang thử nghiệm các phương pháp kỹ thuật tấn công và quy trình mới cho các chiến dịch tấn công có chọn lọc và quy mô hạn chế trước khi áp dụng chúng trong các chiến dịch lớn hơn.

Trojan quảng cáo lây nhiễm hàng nghìn website thông qua plug-in CMS

09:00 | 31/05/2018

Mới đây, một chiến dịch lừa đảo với mục tiêu khiến các website hiển thị các quảng cáo độc hại và chuyển hướng người dùng đến thông báo “máy tính bị nhiễm Trojan”, hoặc “mã độc đã gây ảnh hưởng tới hàng nghìn website”.

Xuất hiện mã độc mới dùng Google Drive làm máy chủ C&C

09:00 | 24/01/2019

Các nhà nghiên cứu của hãng bảo mật Palo Alto (trụ sở chính tại Mỹ) vừa phát hiện ra một chiến dịch tấn công sử dụng Google Drive làm máy chủ C&C.

Tin cùng chuyên mục

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Tin tặc phát tán phần mềm độc hại qua thiết bị USB trên các nền tảng trực tuyến

10:00 | 21/02/2024

Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

Tin tặc lợi dụng khai thác MultiLogin của Google để chiếm quyền điều khiển phiên người dùng

10:00 | 31/01/2024

Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.