- 4,645
- 9,441
Một malware ngụy trang thành công cụ khai thác tiền điện tử StripedFly giúp nó tránh bị phát hiện trong hơn 5 năm.
Theo Kaspersky, phần mềm độc hại này đã lây nhiễm hơn 1 triệu máy tính dùng hệ điều hành Windows và Linux trên toàn cầu kể từ năm 2016. Các nhà nghiên cứu đã bắt đầu điều tra malware này vào năm ngoái khi nhận thấy phần mềm của mình gắn cờ phát hiện trong WINNIT.exe, một chương trình giúp hệ điều hành Windows khởi động.
Các phát hiện sau đó chỉ ra StripedFly, ban đầu được phân loại là công cụ khai thác tiền điện tử. Nhưng kiểm tra kỹ hơn, Kaspersky nhận thấy công cụ khai thác này chỉ là một thành phần của phần mềm độc hại phức tạp hơn, sử dụng các kỹ thuật được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA). StripedFly đã kết hợp EternalBlue, công cụ khai thác khét tiếng do NSA phát triển, sau đó đã bị rò rỉ và sử dụng trong cuộc tấn công ransomware WannaCry để lây nhiễm hàng trăm nghìn máy Windows vào năm 2017.
StripedFly sử dụng cuộc tấn công EternalBlue để xâm nhập vào các hệ thống Windows chưa được vá lỗi và âm thầm lây lan trên mạng máy tính bao gồm cả hệ thống chạy Linux. Phần mềm độc hại này có thể thu thập dữ liệu nhạy cảm từ các máy tính bị nhiễm, chẳng hạn như thông tin đăng nhập và dữ liệu cá nhân.
Hơn nữa, malware này còn có thể chụp ảnh màn hình trên thiết bị mà không bị phát hiện, giành quyền kiểm soát đáng kể đối với máy và thậm chí ghi lại âm thanh từ micro.
Để tránh bị phát hiện, các tác giả StripedFly đã thêm module khai thác tiền điện tử để ngăn hệ thống chống virus phát hiện. Kaspersky cho biết theo định kỳ, phần mềm độc hại sẽ giám sát quá trình khai thác và khởi động lại nếu cần thiết. Nó cũng gửi rất nhiều thông tin báo cáo như thời gian làm việc, số lần không được phát hiện và thống kê lỗi cho máy chủ điều khiển.
Vẫn chưa rõ ai đã phát triển StripedFly, dù malware này chứa module tấn công bắt nguồn từ NSA, nhưng cách khai thác EternalBlue của cơ quan này đã bị rò rỉ vào tháng 4.2017 thông qua nhóm Shadow Brokers.
Mặc dù Microsoft đã phát hành bản vá cho EternalBlue vào tháng 3.2017 nhưng nhiều hệ thống Windows đã không cài đặt được, tạo điều kiện cho StripedFly tận dụng lợi thế lây nhiễm suốt nhiều năm qua.
[TBODY]
[/TBODY]
Theo Kaspersky, phần mềm độc hại này đã lây nhiễm hơn 1 triệu máy tính dùng hệ điều hành Windows và Linux trên toàn cầu kể từ năm 2016. Các nhà nghiên cứu đã bắt đầu điều tra malware này vào năm ngoái khi nhận thấy phần mềm của mình gắn cờ phát hiện trong WINNIT.exe, một chương trình giúp hệ điều hành Windows khởi động.
Các phát hiện sau đó chỉ ra StripedFly, ban đầu được phân loại là công cụ khai thác tiền điện tử. Nhưng kiểm tra kỹ hơn, Kaspersky nhận thấy công cụ khai thác này chỉ là một thành phần của phần mềm độc hại phức tạp hơn, sử dụng các kỹ thuật được cho là của Cơ quan An ninh Quốc gia Mỹ (NSA). StripedFly đã kết hợp EternalBlue, công cụ khai thác khét tiếng do NSA phát triển, sau đó đã bị rò rỉ và sử dụng trong cuộc tấn công ransomware WannaCry để lây nhiễm hàng trăm nghìn máy Windows vào năm 2017.
StripedFly sử dụng cuộc tấn công EternalBlue để xâm nhập vào các hệ thống Windows chưa được vá lỗi và âm thầm lây lan trên mạng máy tính bao gồm cả hệ thống chạy Linux. Phần mềm độc hại này có thể thu thập dữ liệu nhạy cảm từ các máy tính bị nhiễm, chẳng hạn như thông tin đăng nhập và dữ liệu cá nhân.
Hơn nữa, malware này còn có thể chụp ảnh màn hình trên thiết bị mà không bị phát hiện, giành quyền kiểm soát đáng kể đối với máy và thậm chí ghi lại âm thanh từ micro.
Để tránh bị phát hiện, các tác giả StripedFly đã thêm module khai thác tiền điện tử để ngăn hệ thống chống virus phát hiện. Kaspersky cho biết theo định kỳ, phần mềm độc hại sẽ giám sát quá trình khai thác và khởi động lại nếu cần thiết. Nó cũng gửi rất nhiều thông tin báo cáo như thời gian làm việc, số lần không được phát hiện và thống kê lỗi cho máy chủ điều khiển.
Vẫn chưa rõ ai đã phát triển StripedFly, dù malware này chứa module tấn công bắt nguồn từ NSA, nhưng cách khai thác EternalBlue của cơ quan này đã bị rò rỉ vào tháng 4.2017 thông qua nhóm Shadow Brokers.
Mặc dù Microsoft đã phát hành bản vá cho EternalBlue vào tháng 3.2017 nhưng nhiều hệ thống Windows đã không cài đặt được, tạo điều kiện cho StripedFly tận dụng lợi thế lây nhiễm suốt nhiều năm qua.
Nguồn: Dân Trí
| >>ĐĂNG KÝ OKX TẠI ĐÂY ĐỂ ĐƯỢC GIẢM 20% PHÍ GIAO DỊCH TRỌN ĐỜI<< |
Giới thiệu sách Trading hay
Nhật Ký Giao Dịch Thực Chiến của Phù Thủy Thị trường Tài Chính
Sách chia sẻ 05 tháng giao dịch thực tế trên thị trường tài chính, sử dụng Price Action và Mô hình Biểu đồ của Phù thủy trader Peter Brandt, người có gần 50 năm kinh nghiệm trading và đạt lợi nhuận bình quân 68% lợi nhuận mỗi năm
Bài viết liên quan
