Mã độc này được viết bằng một ngôn ngữ lập trình bất thường, khiến nó cực kỳ khó bị phát hiện

Các nhà nghiên cứu an ninh mạng quốc tế vừa phát hiện một chiến dịch tấn công mạng tương đối phổ biến, đang tích cực phát tán một loại phần mềm độc hại mới. Điều đáng nói là mã độc này được viết bằng ngôn ngữ lập trình khá lạ, rất hiếm khi được sử dụng để biên dịch mã độc hại.

Được các nhà nghiên cứu an ninh mạng tại Proofpoint đặt tên là NimzaLoader, phần mềm độc hại này được viết bằng ngôn ngữ lập trình Nim - Và người ta cho rằng những kẻ đứng sau mã độc đã quyết định phát triển nó theo cách khá lạ lùng như vậy, với hy vọng rằng việc chọn một ngôn ngữ lập trình không phổ biến sẽ khiến việc phát hiện và phân tích mã độc trở nên khó khăn hơn đáng kể.

Về cơ bản, NimzaLoader được thiết kế để cung cấp cho các tác nhân độc hại đứng sau nó quyền truy cập vào máy tính Windows, và đặc biệt là khả năng thực thi lệnh - thứ có thể cung cấp cho chúng quyền kiểm soát máy, ăn cắp thông tin nhạy cảm hoặc thậm chí cả khả năng triển khai phần mềm độc hại bổ sung.

Mã độc

Theo các phân tích sơ bộ, mã độc NimzaLoader nhiều khả năng là tác phẩm của một nhóm tội phạm mạng mà Proofpoint gọi là TA800. Nhóm này hiện đang triển khai hàng loạt chiến dịch tấn công nhằm vào một loạt các lĩnh vực công nghiệp trên khắp Bắc Mỹ.

Ngoài ra, nhóm này cũng được cho là có liên quan mật thiết với BazarLoader, phần mềm độc hại dạng trojan sở hữu khả năng tạo ra một backdoor đầy đủ trên các máy Windows bị xâm nhập. Đồng thời, BazarLoader cũng có thể được sử dụng để thực hiện các cuộc tấn công ransomware.

Giống như BazarLoader, NimzaLoader được phân phối bằng cách sử dụng email lừa đảo liên kết các nạn nhân tiềm năng với một trình tải xuống PDF giả mạo, mà nếu chạy sẽ tải phần mềm độc hại vào máy. Email lừa đảo thường được điều chỉnh theo từng mục tiêu cụ thể với các tham chiếu tùy chỉnh liên quan đến những chi tiết cá nhân như tên người nhận và công ty mà họ làm việc.

Cũng tương tự như BazarLoader trước đó, không loại trừ khả năng NimzaLoader có thể được sử dụng như một công cụ mà các tổ chức tội phạm mạng thuê để làm phương tiện phát tán những cuộc tấn công phần mềm độc hại của riêng chúng.

Với thực tế rằng lừa đảo (phishing) là phương tiện chính để phân phối NimzaLoader, các tổ chức, doanh nghiệp nên đảm bảo rằng hệ thống mạng của họ được bảo mật bằng các công cụ giúp ngăn chặn email độc hại triệt để. Bên cạnh đó, cũng cần đẩy mạnh việc đào tạo nhân viên về cách phát hiện email lừa đảo, đặc biệt là khi các chiến dịch như thế này thường cố gắng khai thác thông tin cá nhân như một phương tiện khiến nạn nhân mất cảnh giác.

Thứ Hai, 22/03/2021 22:27
51 👨 861
0 Bình luận
Sắp xếp theo