Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

17:00 | 28/07/2021 | HACKER / MALWARE

Các nhà nghiên cứu an ninh mạng đã thông báo về một dòng mã đôc mới có tên là "MosaicLoader" chưa từng thấy trước đây. Đây là một mã độc đặc biệt có khả năng tự ẩn mình trong thư mục loại trừ của Windows Defense để tránh bị phát hiện.

Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

Các nhà nghiên cứu Bitdefender cho biết trong một báo cáo: “Những hacker mũ đen tạo ra mã độc MosaicLoader với mục đích là một phần mềm có thể sử dụng để đưa các phần payload độc hại khác vào hệ thống. Mã độc này được đưa vào hệ thống mục tiêu bằng cách giả dạng các chương trình bị bẻ khóa. Sau khi lây nhiễm thành công, nó sẽ lấy danh sách URL từ máy chủ C2 và tải xuống và thực thi các payload độc hại khác từ các liên kết đã nhận".

Mã độc được đặt tên là MosaicLoader vì cấu trúc bên trong phức tạp của nó được sắp xếp để ngăn chặn kỹ thuật dịch ngược và phân tích. Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật được thiết lập tốt để phân phối phần mềm độc hại được gọi là đầu độc tối ưu hóa công cụ tìm kiếm (SEO). Cụ thể, các hacker mũ đen sẽ mua các vị trí quảng cáo trong kết quả của công cụ tìm kiếm để các liên kết đến phần mềm độc hại làm kết quả hàng đầu khi người dùng tìm kiếm các cụm từ liên quan đến phần mềm vi phạm bản quyền.

Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm để tìm nạp các payload độc hại ở giai đoạn tiếp theo từ những máy chủ từ xa và cũng thêm các ngoại lệ trong Windows Defender cho các tệp thực thi đã tải xuống để ngăn chặn chúng bị phát hiện trong quá trình quét virus.

Luồng thực thi của mã độc MosaicLoader

Người dùng có thể kiểm tra danh sách các ngoại lệ cho trình diệt virus Windows Defense:

Ngoại lệ cho các tệp và thư mục - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
Ngoại lệ cho các định dạng tệp - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
Ngoại lệ cho các quy trình - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

Đăng Thứ

‹ › ×

Tin liên quan

Tin tặc dùng hồ sơ trực tuyến lừa người dùng tải mã độc

13:00 | 04/08/2021

Một chiến dịch gián điệp mạng được cho là có liên quan đến quân đội Iran đã lừa các nạn nhân bằng cách dùng các hồ sơ mạng xã hội giả để đánh cắp tên, mật khẩu và các thông tin nhạy cảm khác của người dùng.

Phát hiện mã độc đánh cắp dữ liệu trên Android sử dụng công nghệ Virtual Network Computing

08:00 | 26/08/2021

Các chuyên gia bảo mật tại Threat Fabric (Hà Lan) vừa phát hiện một trojan trên Android với tên gọi Vultur, có khả năng ghi lại mọi hoạt động trên màn hình điện thoại, từ đó đánh cắp những thông tin cá nhân quan trọng của người dùng, bao gồm tài khoản ngân hàng và tiền điện tử.

Quy trình ứng cứu, xử lý sự cố mã độc

10:00 | 15/08/2021

Mã độc đã trở thành mối lo ngại mất an toàn thông tin “ám ảnh và dai dẳng” đối với các tổ chức, doanh nghiệp. Đặc biệt, với sự xuất hiện ngày càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn công có chủ đích… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn công này.

Tin tặc phát tán mã độc mới BIOPASS thông qua các website cờ bạc trực tuyến của Trung Quốc

16:00 | 19/07/2021

Mới đây, các nhà nghiên cứu an ninh mạng của Trend Micro vừa đưa ra cảnh báo về một loại Trojan truy cập từ xa (RAT) mới có tên là BIOPASS đang tấn công vào các công ty cờ bạc trực tuyến ở Trung Quốc dưới dạng một cuộc tấn công lỗ hổng.

Chiến dịch giả mạo phát tán mã độc lợi dụng tấn công vào Kaseya VSA

18:00 | 14/07/2021

Đầu tháng 7/2021, tin tặc đã triển khai tấn công mã độc tống tiền vào 1.500 tổ chức, trong đó có nhiều tổ chức cung cấp hỗ trợ kỹ thuật và bảo mật công nghệ thông tin cho các công ty khác. Qua đó, đã khai thác một lỗ hổng trong phần mềm của Kaseya, một công ty có trụ sở tại Miami có sản phẩm giúp quản trị viên hệ thống quản lý các mạng lớn từ xa.

Mã độc tống tiền: mối nguy hiểm chưa có lời giải đáp

18:00 | 15/07/2021

Mất tiền chuộc, doanh thu, rò rỉ thông tin quan trọng, tổn hại đến thương hiệu và danh tiếng, phải sa thải nhân viên, thậm chí phải đóng cửa doanh nghiệp là một số hậu quả của tấn công mã độc tống tiền để lại cho các tổ chức/doanh nghiệp.

Tin cùng chuyên mục

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

Lỗ hổng mới trên chip Qualcomm cho phép tin tặc tấn công từ xa bằng cuộc gọi thoại

07:00 | 15/01/2024

Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.

Giải mã phần mềm độc hại SugarGh0st RAT mới nhắm vào Chính phủ Uzbekistan và người dùng tại Hàn Quốc

12:00 | 15/12/2023

Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.