Xuất hiện mã độc WSL với khả năng đánh cắp cookie xác thực của trình duyệt

Hacker đang thể hiện sự quan tâm đặc biệt đến Windows Subsystem for Linux (WSL). Khi phát triển mã độc (malware), hacker đang coi WSL là một bề mặt tấn công mới. Malware tấn công qua WSL có cấu hình nâng cao với khả năng hoạt động gián điệp hoặc tài xuống và cài đặt các mô-đun độc hại bổ sung.

Giống như tên gọi, WSL cho phép chạy các tệp nhị phân Linux nguyên bản trên Windows trong môi trường giả lập kernel Linux.

Dựa trên các mẫu mới thu được, các nhà nghiên cứu nhận thấy malware nhắm vào WSL dựa trên mã nguồn mở định tuyến giao tiếp thông qua dịch vụ nhắn tin Telegram và cho phép kẻ tấn công truy cập từ xa vào hệ thống bị xâm nhập.

Xuất hiện mã độc WSL với khả năng đánh cắp cookie xác thực của trình duyệt

Malware WSL đầu tiên được phát hiện khoảng một năm trước. Từ đó tới nay, số lượng của chúng không ngừng tăng lên. Mặc dù dựa trên mã nguồn công khai nhưng khả năng phát hiện mã độc WSL là rất thấp.

Trong số các mẫu được phân tích, đáng chú ý nhất là một malware có thể hoạt động như một công cụ truy cập từ xa (RAT) hoặc thiết lập một shell đảo ngược trên máy chủ bị nhiễm.

Một trong những mẫu gần đây hơn có tên là RAT-via-Telegram được phát triển dựa trên công cụ mã nguồn mở Pythoon. Nó có thêm các chức năng lấy cắp cookie xác thực từ trình duyệt Google Chrome và Opera, chạy lệnh hoặc tải file.

Các nhà nghiên cứu của Black Lotus Labs chia sẻ rằng malware này có kèm theo mã thông báo bot và chat ID trực tiếp. Điều này cho thấy nó phụ thuộc vào một cơ chế điều khiển và lệnh (command and control) động.

Các chức năng bổ sung của biến thể này gồm chụp ảnh màn hình, lấy thông tin người dùng và hệ thống (tên người dùng, địa chỉ IP..) giúp kẻ tấn công dễ dàng xác định loại mã độc nào chúng nên dùng trong giai đoạn tiếp theo. Chỉ có 2 trong số 57 công cụ trên Virus Total gắn cờ malware này là độc hại.

Một malware WSL thứ hai được phát hiện gần đây đã cài đặt một shell TCP ngược trên máy tính bị nhiễm để giao tiếp với kẻ tấn công. Nhìn vào code, các nhà nghiên cứu nhận thấy nó sử dụng địa chỉ IP từ Amazon Web Services đã được một số thực thể sử dụng trước đây.

Cả hai malware trên đều có thể được dùng cho mục đích gián điệp và có thể tải xuống các file giúp chúng mở rộng thêm chức năng.

Trong thời gian qua, những kẻ chuyên tạo ra malware đã nâng cao kỹ năng của mình và có thể tạo ra các loại malware có thể hoạt động trên cả Windows và Linux. Bên cạnh đó, các malware giờ đây có thể đồng thời tải lên hoặc tải xuống các file hoặc thực hiện lệnh của kẻ tấn công.

Theo các nhà nghiên cứu, malware sẽ càng ngày càng phát triển tinh vi hơn. Vì thế, để bảo vệ bản thân hoặc doanh nghiệp, người dùng cần theo dõi chặt chẽ hoạt động của hệ thống (ví dụ: SysMon) để xác định hoạt động đáng ngờ và điều tra các lệnh.

Thứ Hai, 30/05/2022 15:06
51 👨 968
0 Bình luận
Sắp xếp theo