Phát hiện mã độc nguỵ trang dưới dạng văn bản RTF

Nguy cơ bị tấn công từ file văn bản luôn rình rập người dùng máy tính.

Theo thông tin từ đại diện Dr.Web tại Việt Nam, các chuyên gia của hãng bảo mật này vừa theo dõi và phát hiện tội phạm mạng tấn công kiểm soát máy tính từ xa thông qua việc tải gói chứa các chương trình độc hại có tên BackDoor.RatPack được ngụy trang như một tài liệu RTF (Rich Text Format - một dạng văn bản khá phổ biến tại Việt Nam hiện nay).

Khi tài liệu được mở ra, một tập tin độc hại được giải mã và lưu vào máy tính của nạn nhân. Cần lưu ý rằng các tập tin trên là một trình cài đặt có chữ ký số hợp lệ (như hầu hết các tập tin khác từ BackDoor.RatPack).

Sau khi khởi động, trình cài đặt sẽ quét hệ thống máy ảo, chương trình giám sát và gỡ rối (debuggers), sau đó tìm kiếm các ứng dụng ngân hàng trực tuyến của một số tổ chức tài chính (trường hợp này đã xảy ra tại Nga).

Nếu tất cả các truy soát thành công, trình cài đặt kết nối đến một máy chủ từ xa tự tải xuống và chạy một trình cài đặt trong định dạng NSIS (Nullsoft Scriptable Install System) có chứa một số file thực thi và một số tài liệu lưu trữ mật khẩu bảo vệ.

Bộ cài đặt thứ hai thực hiện việc trích xuất các tập tin thực thi và khởi động chúng.

Bộ cài đặt tải phần bổ sung của một phần mềm chia sẻ từ xa có tên gọi Remote Office Manager. Chuyên gia nghiên cứu bảo mật Dr.Web phát hiện có ít nhất ba phiên bản của chương trình này là có sự khác biệt trong thiết lập cấu hình.

Bằng cách chặn một số chức năng hệ thống, các chương trình độc hại có khả năng che giấu các lối tắt của công cụ trong thanh tác vụ Windows (taskbar) và khu vực thông báo của Windows (notification area) ngăn người dùng phát hiện chương trình này đang chạy.

Theo Dr.Web, tội phạm mạng có thể sử dụng BackDoor.RatPack đánh cắp thông tin ngân hàng và dữ liệu bí mật bằng việc kiểm soát từ xa các máy tính bị xâm nhập. Đáng lo ngại hơn, mã độc này không cần đòi hỏi đối tượng có kiến thức CNTT chuyên sâu cũng có thể sử dụng.

Tháng 6/2015, Bkav cũng đã phát hiện loại mã độc RAT (Remote Access Trojan) cho phép hacker truy cập điều khiển từ xa. Virus ẩn nấp trong file văn bản được điều khiển qua domain (tên miền) của một công ty Trung Quốc đăng ký. Hacker khai thác lỗ hổng CVE-2012-0158 của Microsoft Office để chèn mã độc vào tập tin văn bản, nạn nhân sau khi tải và mở tập tin này về, virus sẽ cài các thành phần độc hại vào hệ thống của máy tính thu thập dữ liệu, ghi các thao tác bàn phím, chụp màn hình, liệt kê các kết nối hiện tại… của máy tính nạn nhân.

 
H.P (ICTNews)