Các nhà nghiên cứu tại trường đại học Maryland (Mỹ) đã tìm thấy 72 chứng thực bị đánh cắp sau khi phân tích dữ liệu do Symantec thu thập từ 11 triệu máy chủ trên toàn thế giới.
Các mã độc được ký bằng chứng thực số có thể qua mặt cơ chế bảo vệ dựa trên ký số xác nhận ứng dụng (code signing). Chứng thực số code-signing vốn là công cụ giúp kiểm tra tính hợp pháp và toàn vẹn của các ứng dụng máy tính, nhưng tội phạm mạng lại đang lợi dụng các chứng thực bị đánh cắp để cài mã độc vào hệ thống mạng của các doanh nghiệp và thiết bị của người dùng. Cách làm này không chỉ áp dụng dụng với những loại mã độc cao cấp như Stuxnet hay loại mã độc lây nhiễm vào CCleaner gần đây.
Tudor Dumitras, một trong các nhà nghiên cứu, nói rằng: phần lớn các trường hợp này chưa từng được biết tới và 2/3 trong số các mã độc được ký bằng 72 chứng thực đó vẫn còn hiệu lực, việc kiểm tra chữ ký số không phát hiện bất kỳ lỗi nào.
Các chứng thực số bị đánh cắp dường như đã phổ biến trên thế giới từ trước khi sâu Stuxnet xuất hiện và chúng không chỉ liên quan tới những mối đe doạ cao cấp do các chính phủ phát triển. Các nhà nghiên cứu đã phát hiện các chứng thực số này được cấp phát cho kẻ xấu giả danh những công ty có thật, nhưng không phát triển phần mềm và cũng không có nhu cầu sử dụng chứng thực code-signing, chẳng hạn như một dịch vụ chuyển hàng ở Hàn Quốc.
Các chuyên gia tại Trung tâm an ninh mạng Maryland phát hiện ra rằng, chỉ cần đính một chữ ký số dạng authenticode của một ứng dụng hợp lệ vào một mã độc, cũng có thể khiến phần mềm chống virus không kiểm tra mã độc đó nữa. Lỗi này ảnh hưởng tới 34 phần mềm diệt virus, với các mức độ khác nhau. Những kẻ tạo ra mã độc không cần đến một chứng thực dùng cho code-signing.
Bên cạnh tài liệu sẽ được trình bày tại hội thảo CCS ở Dallas, các nhà nghiên cứu còn dự định công bố danh sách các chứng thực số bị lợi dụng tại địa chỉ signedmalware.org.
Một nghiên cứu khác của Cyber Security Research Institute (CSRI) cho biết chứng thực số code-signing chưa được phát hiện có thể mua trên các trang web ẩn với giá lên tới 1.200 USD.
Ông Peter Warren, Chủ tịch của CSRI nói rằng: cách đây nhiều năm, tội phạm mạng thường xuyên tìm kiếm chứng thực số code-signing để phát tán mã độc vào các máy tính. Một thị trường mua bán chứng thực số của tội phạm khiến toàn bộ hệ thống các chứng thực cho Internet trở nên đáng nghi và sự việc triển khai các hệ thống kỹ thuật nhằm chống lại việc sử dụng chứng thực số cho các mục đích sai trái trở nên cấp thiết.
(theo The Register)
10:00 | 05/02/2024
09:00 | 16/08/2023
16:00 | 04/01/2018
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024