Cảnh báo loại mã độc mới không để lại dấu vết

VietTimes -- Fileless malware là loại mã độc không cần sử dụng bất kỳ tập tin nào trong quá trình hoạt động và được thiết kế để lẩn tránh sự phòng ngừa của các phần mềm dò tìm dấu vết mã độc. Đây được coi là lời cảnh báo có sức nặng, vì hacker có thể dùng các mã độc mới dựa trên cách thức này để tăng khả năng phá hoại.
Loại mã độc mới tấn công vào các file EXE/DLL nhưng không để lại dấu vết, có thể gây những tác hại lớn trong tương lai. Ảnh minh hoạ: Tạp chí an toàn thông tin
Loại mã độc mới tấn công vào các file EXE/DLL nhưng không để lại dấu vết, có thể gây những tác hại lớn trong tương lai. Ảnh minh hoạ: Tạp chí an toàn thông tin

Hãng bảo mật Trend Micro (Nhật Bản) đã phát hiện ra một ví dụ về mối đe dọa mới này. Hiện cách thức tấn công mới này vẫn chưa tạo ra tác động lớn, nhưng nó là lời cảnh báo mạnh vì hacker có thể dùng các mã độc mới dựa trên cách thức này có sức phá hoại cao hơn.

Hãng bảo mật trên đã phát hiện trojan đặc biệt JS_POWMET trong cuộc tấn công. Quá trình tấn công bắt đầu bằng việc thâm nhập vào Windows Registry: trojan được tải về khi người dùng truy cập các trang web độc hại hoặc được kéo về bởi một mã độc khác, sau đó nó tự động được thêm vào một mục tự động khởi chạy trong Registry. Mã tự động này sẽ kéo JS_POWMET về từ một máy chủ kiểm soát. Việc sửa đổi Registry cho phép các hacker sử dụng mã để tùy ý thực thi các hoạt động mà không lưu lại tập tin XML trên máy.

Khi JS_POWMET được thực thi, nó sẽ tải về một tập tin khác, TROJ_PSINJECT. TROJ_PSINJECT sẽ kết nối tới một trang web để tải về một tập tin bình thường gọi là favicon. Tập tin này sẽ được giải mã để qua các bước khác xâm nhập các tập tin EXE/DLL. Một khi kiểm soát các file EXE hay DLL, hàng loạt đoạn chương trình sẽ được thực thi bởi mã độc thông qua lệnh PowerShell. Mã độc sẽ thu thập các thông tin hệ thống bao gồm đặc quyền của quản trị viên, phiên bản hệ điều hành, địa chỉ IP…
Mô hình tấn công của mã độc mớiMô hình tấn công của mã độc mới

Các thu thập trên không quá nguy hiểm nhưng Trend Micro cảnh báo rằng tác giả của JS_POWMET có thể dễ dàng sử dụng cách thức tấn công này cho các mã độc “tiến hóa” hơn nhằm phục vụ mục đích tấn công cao hơn, thu thập nhiều thông tin cá nhân hơn từ các nạn nhân.  

Hãng bảo mật cho rằng một trong những phương thức hiệu quả để ngăn ngừa tác hại của fileless malware là giới hạn quyền truy cập thông qua môi trường sandbox cô lập các mối đe dọa, tách thiết bị đầu cuối ra khỏi các kết nối mạng quan trọng. Đối với mã độc đặc biệt này, có thể phòng ngừa bằng cách vô hiệu hóa bản thân Powershell nếu các thành phần khác của Windows không cần đến nó.

Trend Micro cũng cảnh báo các tổ chức và người dùng cá nhân nên đề cao cảnh giác với các tập tin và mã độc, chúng sẽ luôn tìm cách để xâm nhập vào các hệ thống có sự đề phòng lỏng lẻo.