Mã độc ẩn trong các phần mềm bẻ khóa vượt qua Windows Defender

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
Mã độc ẩn trong các phần mềm bẻ khóa vượt qua Windows Defender
Các nhà nghiên cứu an ninh mạng công bố đã lật tẩy một loại phần mềm độc hại ít được biết đến có tên là "MosaicLoader" giấu mình trong các phần mềm bẻ khóa.

Các nhà nghiên cứu Bitdefender cho biết những kẻ tấn công đằng sau MosaicLoader đã tạo ra một phần mềm độc hại có thể cung cấp bất kỳ đoạn mã thực thi trên hệ thống, để kiếm chác lợi nhuận. MosaicLoader xâm nhập hệ thống mục tiêu bằng cách đóng giả là những phần mềm cài đặt bị bẻ khóa, sau đó tải xuống một phần mềm độc hại có nhiệm vụ lấy danh sách URL từ máy chủ C2 và tải về các mã độc từ các liên kết nhận được.

windows-computer-malware.jpg

Phần mềm độc hại được đặt tên như vậy vì cấu trúc bên trong khá phức tạp, được sắp xếp để ngăn chặn kỹ thuật đảo ngược (reverse engineering) và trốn tránh các sự phát hiện, phân tích.

Các cuộc tấn công liên quan đến MosaicLoader dựa trên một chiến thuật hiệu quả để phân phối phần mềm độc hại là SEO poisoning. Khi đó, tội phạm mạng mua các vị trí quảng cáo trong kết quả tìm kiếm để đẩy kết quả lên hàng đầu, từ đó tiếp cận người dùng tìm kiếm các cụm từ liên quan đến các phần mềm vi phạm bản quyền.


computer-virus.jpg

Sau khi lây nhiễm thành công, mã độc giả mạo như một trình cài đặt phần mềm trước khi nhận các mã thực thi từ máy chủ điều khiển từ xa. Đồng thời, mã độc cũng thêm các tính năng loại trừ (exclusions) cục bộ (local) cho phép qua mắt quá trình quét virus của Windows Defender.

windows-malware.jpg

Các loại trừ (exclusions) Windows Defender có thể được tìm thấy tại:
  • File and folder exclusions - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
  • File type exclusions - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
  • Process exclusions - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
File thực thi đầu tiên "appsetup.exe" có nhiệm vụ thực hiện, leo thang đặc quyền trên hệ thống, trong khi file thực thi thứ hai "prun.exe", có chức năng như một trình tải xuống có thể truy xuất và triển khai nhiều mối đe dọa từ một danh sách các URL, bao gồm trình đánh cắp cookie, mã độc đào tiền ảo và thậm chí là những mã độc tiên tiến hơn như Glupteba.

"prun.exe" cũng đáng chú ý với hàng loạt các kỹ thuật làm xáo trộn và chống đảo ngược bằng cách tách các đoạn mã bằng các byte điền ngẫu nhiên, với quy trình thực thi được thiết kế để "bỏ qua các phần này và chỉ thực thi các đoạn nhỏ, có ý nghĩa."

malware-map.jpg

Với hàng loạt chức năng như vậy, MosaicLoader có thể biến các hệ thống bị xâm nhập thành mạng botnet, tạo điều kiện cho kẻ xấu phát tán nhiều phần mềm độc hại phức tạp, bao gồm cả phần mềm độc hại có sẵn và phần mềm độc hại tùy chỉnh. Mục đích là để giành được, mở rộng và duy trì trái phép truy cập vào máy tính và mạng của nạn nhân.

Các nhà nghiên cứu cho biết: “Cách tốt nhất để chống lại MosaicLoader là tránh tải các phần mềm bẻ khóa từ bất kỳ nguồn nào và kiểm tra tên miền chứa các tệp trước khi tải xuống".

Theo TheHackerNews

 
Chỉnh sửa lần cuối bởi người điều hành:
Thẻ
malware mosaicloader powershell windows defender
Bên trên