Một họ mã độc không bị phát hiện suốt ba năm

on .

Hơn ba năm nay có một họ mã độc đã ẩn náu tránh được những sự moi móc của những nhà nghiên cứu an ninh nhờ vào những phương pháp điều khiển và những mệnh lệnh được che dấu .

 

Theo những nhà nghiên cứu từ Palo Alto Networks, họ mã độc này được đặt tên là Dimnie , đã bị phát hiện từ giữa tháng Một khi nó ở trung tâm của chiến dịch nhắm tới những nhà phát triển mã nguồn mở bằng những thư điện tử Phishing . Thư điện tử này có chứa file .DOC độc hại có chứa macro với một loạt những lệnh thực thi bằng PowerShell để tải và chạy file khác .

Palo Alto Networks nói rằng họ đã biết về mẫu của mã độc này từ đầu năm 2014 với những mệnh lệnh và cơ chế tương tự .” Họ mã độc trên hoạt động như là một Downloader và có thiết kế kiểu module bao gồm những chức năng đánh cắp thông tin khác nhau . Mỗi module được phun vào bộ nhớ của Process lõi của Windows cho nên việc phân tích chúng rất phức tạp . Trong suốt khoảng thời gian từ đó cho tới nay , nó suất hiện với một vài sự thay đổi và những mệnh lệnh được che dấu của nó và những phương pháp điều khiển kết hợp cùng với những kiểu mục tiêu mã tin tặc Nga hay sử dụng khiến cho những chuyên gia rất khó phát hiện cho tới chiến dịch mới đây nhất của nó “.

Khi xem xét cách thức truyền thông của mã độc với máy chủ CnC , các nhà nghiên cứu đã xác định rằng nó dùng những yêu cầu HTTP Proxy tới một dịch vụ Google PageRank , đã dừng hoạt động từ năm ngoái . Bởi vì dùng URL trong yêu cầu HTTP được liên kết tới một dịch vụ không  tồn tại , máy chủ không hoạt động như là một Proxy , và đó là cách ngụy trang đơn giản nhất .

Các chuyên gia kết luận chức năng chính của mã độc này đó là đánh cắp thông tin và do thám . Do có thiết kế kiểu module nên tin tặc có thể bổ sung nhiều tính năng khác nhau cho những hoạt động độc hại .

Thêm bình luận


Mã bảo mật:
Mã bảo mật Làm mới