Trend Micro vừa phát hiện một biến thể của mã nguồn độc hại có tên Gamarue, liên quan tới SourceForge một kho lưu trữ code trực tuyến.
Đây là phát hiện mới nhất kể từ sau đợt gia tăng mạnh mẽ của các mã nguồn nguy hiểm vào tháng 5/2013.
SourceForge cho phép người dùng lưu trữ trực tuyến một số lượng code lớn trên nền tảng điện toán đám mây nhằm phục vụ cho những dự án của họ. Điều này vô tình tạo ra một lượng mã nguồn mở trôi nổi, ẩn chứa những mối nguy hại cực lớn. Với hơn 4 triệu lượt download code hàng ngày, việc phát tán mã độc trên SourceForge trở nên rất lý tưởng và dễ dàng.
Sau khi phân tích trường hợp của mã nguồn Gamarue, hãng bảo mật Trend Micro đã phát hiện ra cuộc tấn công này được tạo thành từ bốn tập tin: 1 tập tin shortcut, 1 tập tin có tên "desktop.ini", 1 tập tin có phần mở rộng là *.com và tập tin thumbs.db chứa mã độc Gamarue. Tập tin shortcut có nhiệm vụ kích hoạt file có đuôi mở rộng *.com. Tập tin này tiếp tục kích hoạt desktop.ini và giải mã các tập tin khác chứa trong file thumbs.db. Mã độc sau khi đã giải mã hoàn chỉnh sẽ được lưu trữ ở một thư mục khác trong Windows.
Tiến trình giải mã của Gamarue.
Nguy hiểm hơn, mã độc sau khi được giải mã sẽ thực hiện cơ chế tự cập nhật (auto update) và tải về phiên bản độc hại mới nhất được lưu trữ trên SourceForge, thông qua một dự án có tên gọi "tradingfiles". Theo trang tin Spamfighter, các dự án chứa Gamarue khác đang phát tán có tên "ldjfdkladf" và "stanteam" cũng đã bị phát hiện. Các dự án này mới bắt đầu cập nhật mã độc vào ngày 1/6/2013.
Mục đích của Gamarue là giúp hacker thể kiểm soát và ăn cắp dữ liệu từ máy tính bị nhiễm. Ngoài ra khi bị nhiễm, máy tính của nạn nhân sẽ vô tình góp phần vào một cuộc tấn công vào các máy tính khác. Bằng phương thức tấn công hệ thống, Gamarue sẽ gây nguy hại rất lớn đến các ổ đĩa gắn ngoài (Removable Drive) và hướng người dùng truy cập vào những website bị nhiễm Blackhole Exploit Kit.
Theo dự đoán của Trend Micro, với sự phát triển mạnh mẽ của điện toán đám mây, năm 2013 có thể sẽ là thời điểm gia tăng của tội phạm trực tuyến. Chính những dịch vụ lưu trữ như SourceForge sẽ vô tình góp một phần không nhỏ cho những cuộc tấn công này. Hiện SourceForge đã nhận được thông báo và nhanh chóng truy tìm và xóa bỏ những mã độc này ra khỏi kho lưu trữ của mình.