Cảnh báo mã độc mới có thể ghi lại thao tác gõ phím người dùng để tống tiền
09:42 26/09/2018(VietQ.vn) - Các nhà nghiên cứu bảo mật của Mỹ cảnh báo đang xuất hiện một mã độc Virobot có khả năng theo dõi người dùng qua thao tác gõ bàn phím.
Hệ thống ngân hàng nguy cơ mất hết dữ liệu vì mã độc, cách gỡ nhanh nhất
Người ngoài hành tinh có thể gửi mã độc và tiêu diệt nhân loại
Cảnh giác mã độc ép người dùng chơi game rồi mới dùng lại được máy tính
Theo các chuyên gia bảo mật, mã độc Virobot được phát hiện lần đầu vào ngày 17/9/2018. Hình thức hoạt động của mã độc Virobot chính là kiểm tra các máy bị ảnh hưởng để lấy các khóa đăng ký cụ thể để quyết định xem có nên mã hóa hệ thống hay không.
Nhóm các nhà nghiên cứu bảo mật thuộc TrendLabs cho biết, mã độc Virobot này rất nguy hiểm. Khi tồn tại trên máy nạn nhân, Virobot sẽ tạo một mã khoá ngẫu nhiên để mã hoá tất cả các tài liệu quan trọng trên máy (các file nhắm đến có đuôi là TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN PHP, ASP, ASPX, HTML, XML, PSD, PDF và SWP).
Sau khi quá trình mã hoá kết thúc, mã độc Virobot sẽ thông báo ghi chú tiền chuộc trên màn hình của người dùng. Ngoài việc mã hoá máy tính, Virobot còn có tính năng như một botnet và spam. Trường hợp người dùng nhiễm ransomware này thông qua ứng dụng email Microsoft Outlook, mã độc Virobot sẽ tự động lấy danh sách liên lạc trong email để phát tán cho các người dùng khác một email chứa phần mềm ransomware này.
Mã độc Virobot có thể ghi lại thao tác gõ bàn phím người dùng để ăn cắp thông tin, tống tiền.
Không dừng lại ở đó, nhóm nghiên cứu bảo mật còn phát hiện nó còn bao gồm một hệ thống keylogger đơn giản ghi lại tất cả các hoạt động gõ bàn phím của người dùng, sau đó gửi tất cả thông tin này đến một máy chủ. Nguy hiểm hơn, Virobot cũng cho phép người tạo ra ransomware này tải xuống phần mềm độc hại khác từ máy chủ của ransomware và thực thi nó.
Mã độc Virobot cũng không phải là ransomware đầu tiên đi kèm với keylogger hoặc các thành phần khác. Các phần mềm độc hại được phát tán gần đây như LokiBot, Rakhni XBash,... thường đi kèm với khá nhiều tính năng như đào tiền ảo, botnet, keylogger,... nhằm nhắm đến nhiều đối tượng khác nhau từ người dùng cá nhân thông thường đến các tổ chức, đặc biệt là các ngân hàng.
Thực tế, mã độc Virobot không phải là phần mềm khổng lồ duy nhất có kết nối xuất hiện trong vài tuần qua. Vào cuối tháng 8, nhà nghiên cứu bảo mật MalwareHunter nhận thấy rằng một chủng ransomware có tên PyLocky được tạo ra để bắt chước các ransomware Locky nổi tiếng hơn nhiều, cũng đã hoạt động rất tích cực trong việc nhắm mục tiêu đến Pháp. May mắn thay, lưu ý tiền chuộc bằng tiếng Pháp của họ là quá đủ để người dùng đoán hoặc xác định rằng họ đã bị nhiễm Virobot.
Hiện tại, theo Trend Micro, mối đe dọa đã tạm thời giảm thiểu tại thời điểm viết máy chủ C&C Virobot bị hỏng, nghĩa là phần mềm ransomware sẽ không bắt đầu quá trình mã hóa khi lây nhiễm cho nạn nhân mới.
Vì đây là một dòng ransomware mới, điều này rất có thể là do thử nghiệm của các nhà phân phối phần mềm độc hại thực hiện và dự kiến rằng các máy chủ C&C của ransomware cuối cùng sẽ quay trở lại cho các chiến dịch phân phối rộng hơn trong tương lai. Đó là lý do tại sao một số nhà nghiên cứu hiện đang phản đối quyết định của Trend Micro để phân loại Virobot thành ransomware thay vì botnet. Với những đường nét mờ đi, khó mà biết được điều gì nữa.
An Dương (T/h)
