Phát hiện mã độc “CozyDuke” có liên quan đến mã độc Miniduke nổi danh
Bộ phận Nghiên cứu và phân tích toàn cầu của Kaspersky Lab vừa công bố bản báo cáo miêu tả một chiến dịch gián điệp mạng mới và tân tiến, sử dụng phần mềm độc hại để tấn công những tổ chức danh giá và chuyên biệt. Báo cáo này cho rằng, những mục tiêu tại Hoa Kỳ bao gồm cả Nhà Trắng và Bộ Ngoại giao Hoa Kỳ, các tổ chức chính phủ và cả những công ty tại Đức, Hàn Quốc và Uzbekistan có thể là mục tiêu của chiến dịch này.

Bên cạnh việc chỉ tấn công những cơ quan lớn, tổ chức này có những đặc điểm đáng lo ngại nhưng cũng khá thú vị, bao gồm việc sử dụng mật mã và chống lại việc nhận dạng. Ví dụ như đoạn mã có khả năng tấn công những sản phẩm bảo mật như Kaspersky Lab, Sophos, DrWeb, Avira, Crystal và Comodo Dragon.
Các chuyên gia tại Kaspersky Lab đã tìm ra chức năng hoạt động và sự giống nhau trong cấu trúc giữa CozyDuke và các chiến dịch gián điệp mạng khác như MiniDuke, CosmicDuke và OnionDuke. Đồng thời, MiniDuke và CosmicDuke vẫn còn hoạt động và nhắm vào các tổ chức ngoại giao và đại sứ quán, các công ty năng lượng, dầu mỏ, viễn thông, quân đội và viện nghiên cứu ở một số nước.
Theo các chuyên gia này, mã độc CozyDuke thường tấn công giả mạo bằng email chứa đường link đến một website đã bị hack trước đó, thường nổi tiếng và hợp pháp như “diplomacy.pl” - chứa file nén có mã độc. Để đạt được mục đích, nhóm hacker này thường gửi những video dạng flash giả mạo, kèm mã độc dưới dạng tập tin đính kèm trong email.
CozyDuke sử dụng backdoor (khái niệm để chỉ một loại Trojan, sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công có thể kết nối từ xa tới máy nạn nhân, từ đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra - PV) và mã độc dropper. Chương trình có mã độc này gửi thông tin của mục tiêu đến server điều khiển và khôi phục lại tập tin cấu hình và các modules khác thực hiện những chức năng mà hacker cần.
“Chúng tôi đã theo dõi MiniDuke và CosmicDuke trong vài năm nay. Kaspersky Lab là tổ chức đầu tiên lên tiếng cảnh báo những cuộc tấn công MiniDuke vào năm 2013, vốn đã có những manh nha đầu tiên trước đó vào năm 2008. CozyDuke chắc chắn có liên hệ tới 2 chiến dịch kể trên, cũng như có mối liên quan tới OnionDuke. Những chiến dịch gián điệp mạng này sẽ tiếp tục theo dõi mục tiêu. Chúng tôi tin rằng những công cụ này được một người nói tiếng Nga tạo ra và quản lý”, ông Kurt Baumgartner, Nhà nghiên cứu bảo mật chính của Bộ phận Nghiên cứu và phân tích toàn cầu Kaspersky Lab cho biết.
Để tránh rơi vào các tình huống này, người dùng cần lưu ý: Không mở những tập tin đính kèm và đường link từ những người bạn không biết; Thường xuyên chạy phần mềm quét virus máy tính; Cẩn thận những file nén chứa file SFX bên trong; Nếu cảm thấy không chắc về tập tin đính kèm, hãy mở tập tin đó trong sandbox; Hãy cài phiên bản hệ điều hành mới nhất để đảm bảo không bị lỗi; Cập nhật các phần mềm từ bên thứ ba như Microsoft Office, Java, Adobe Flash Player và Adobe Reader…
(GN)

Cảnh báo mã độc máy tính giả mạo thư điện tử của Bộ Công an

Một phần ba người mua sắm bị thiệt hại tài chính trong mùa Giáng Sinh

Lỗ hổng trong bộ sạc điện xe hơi có thể làm hỏng mạng gia đình

Kaspersky Lab hợp tác với The Mix khởi động chiến dịch #AndOwningIt
