WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Malware Fireball lây nhiễm gần 250 triệu máy tính trên toàn thế giới
Một chiến dịch phát tán malware lớn lây nhiễm hơn 250 triệu máy tính khắp thế giới, bao gồm các máy Windows và Mac OS đã được các chuyên gia an ninh phát hiện.
Malware được đặt tên Fireball là một adware (phần mềm quảng cáo) có thể hoàn toàn chiếm quyền điều khiển các trình duyệt web của nạn nhân và biến chúng thành zombie, từ đó cho phép hacker theo dõi lưu lượng truy cập (web traffic) của nạn nhân và ăn cắp dữ liệu.
Theo các chuyên gia của hãng an ninh Check Point đã phát hiện được malware này, hoạt động của chiến dịch có mối liên hệ với Rafotech, một công ty của Trung Quốc được cho là đang cung cấp các ứng dụng trò chơi và tiếp thị kỹ thuật số tới 300 triệu khách hàng.
Mặc dù hiện tại Fireball được dùng để tạo doanh thu bằng cách chèn quảng cáo lên các trình duyệt, mã độc này có thể nhanh chóng biến thành một kẻ hủy diệt đáng gờm gây ra một sự cố an ninh mạng nghiêm trọng trên toàn thế giới.
Fireball được đóng gói cùng các chương trình phần mềm miễn phí khác được tải xuống từ Internet. Sau khi cài đặt, malware này cài đặt plugin trình duyệt để thao tác các cấu hình trình duyệt web của nạn nhân và thay thế các công cụ tìm kiếm mặc định cũng như các trang chủ bằng công cụ tìm kiếm giả mạo (trotux.com).
Các chuyên gia an ninh cho biết: "Một điều quan trọng cần phải nhớ là khi người dùng cài đặt phần mềm miễn phí, malware không cần thiết phải được tải về ngay lúc đó. Hơn nữa, có khả năng Rafotech đang sử dụng các phương pháp bổ sung như phát tán phần mềm miễn phí dưới tên giả mạo, spam, hoặc thậm chí mua quyền cài đặt từ các hacker."
Công cụ tìm kiếm giả mạo chuyển hướng các truy vấn của nạn nhân đến Yahoo.com hoặc Google.com và có chứa các pixel theo dõi để thu thập thông tin của nạn nhân.
Fireball có khả năng theo dõi lưu lượng truy cập web của nạn nhân, thực thi bất kỳ mã độc hại nào trên các máy tính bị nhiễm, cài đặt các plug-in và thậm chí chèn malware, từ đó tạo ra một lỗ hổng an ninh nghiêm trọng trong các hệ thống và mạng mục tiêu.
Cũng theo các chuyên gia, từ góc độ kỹ thuật, Fireball cho thấy các kỹ thuật tránh bị phát hiện cực kỳ phức tạp và tinh vi, bao gồm khả năng chống phát hiện, cấu trúc nhiều lớp và một C&C linh hoạt – khiến nó không hề thua kém một malware điển hình nào.
Hiện tại, phần mềm quảng cáo Fireball đang chiếm quyền lưu lượng truy cập web của người dùng để tăng quảng cáo và kiếm doanh thu, đồng thời, nó có khả năng phân phối malware.
Các nhà nghiên cứu cho biết: "Dựa vào tỷ lệ lây nhiễm ước tính của chúng tôi, theo kịch bản như trên, 1/5 công ty trên toàn thế giới sẽ dễ bị tấn công trước chiến dịch xâm nhập nghiêm trọng này."
Cụ thể, hơn 250 triệu máy tính bị nhiễm trên toàn thế giới, 20% trong số đó là mạng của các công ty:
• 25,3 triệu máy ở Ấn Độ (10,1%)
• 24,1 triệu máy ở Braxin (9,6%)
• 16,1 triệu ở Mexico (6,4%)
• 13,1 triệu ở Indonesia (5,2%)
• 5,5 triệu Tại Hoa Kỳ (2,2%)
Các nhà nghiên cứu đưa ra cảnh báo về mức độ nghiêm trọng của chiến dịch này. "Hãy thử tưởng tượng một loại thuốc trừ sâu được trang bị một quả bom hạt nhân. Rất nhiều hacker sẽ muốn có một phần nhỏ sức mạnh của Rafotech."
Các dấu hiệu cảnh báo máy tính bị lây nhiễm Fireball
Nếu "KHÔNG" là câu trả lời cho bất kỳ câu hỏi nào sau đây, có nghĩa là máy tính của bạn bị nhiễm Fireball hoặc adware tương tự.
Mở trình duyệt web của bạn và kiểm tra:
1. Bạn đã thiết lập trang chủ của mình chưa?
2. Bạn có thể sửa đổi trang chủ trình duyệt của mình?
3. Bạn có thấy công cụ tìm kiếm mặc định của mình quen thuộc không và có thể sửa đổi nó không?
4. Bạn có nhớ đã cài đặt tất cả các mở rộng trình duyệt của mình không?
Để gỡ bỏ adware, chỉ cần gỡ bỏ cài đặt ứng dụng tương ứng từ máy tính của bạn (hoặc sử dụng phần mềm dọn dẹp adware) và khôi phục /reset cấu hình trình duyệt của bạn về cài đặt mặc định.
Người dùng được khuyến cáo phải rất cẩn trọng khi cài đặt phần mềm, vì các bộ cài phần mềm thường bao gồm cài đặt tùy chọn. Lựa chọn cài đặt tùy chỉnh và sau đó bỏ chọn bất cứ thứ gì không cần thiết hoặc không quen thuộc.
Malware được đặt tên Fireball là một adware (phần mềm quảng cáo) có thể hoàn toàn chiếm quyền điều khiển các trình duyệt web của nạn nhân và biến chúng thành zombie, từ đó cho phép hacker theo dõi lưu lượng truy cập (web traffic) của nạn nhân và ăn cắp dữ liệu.
Theo các chuyên gia của hãng an ninh Check Point đã phát hiện được malware này, hoạt động của chiến dịch có mối liên hệ với Rafotech, một công ty của Trung Quốc được cho là đang cung cấp các ứng dụng trò chơi và tiếp thị kỹ thuật số tới 300 triệu khách hàng.
Mặc dù hiện tại Fireball được dùng để tạo doanh thu bằng cách chèn quảng cáo lên các trình duyệt, mã độc này có thể nhanh chóng biến thành một kẻ hủy diệt đáng gờm gây ra một sự cố an ninh mạng nghiêm trọng trên toàn thế giới.
Fireball được đóng gói cùng các chương trình phần mềm miễn phí khác được tải xuống từ Internet. Sau khi cài đặt, malware này cài đặt plugin trình duyệt để thao tác các cấu hình trình duyệt web của nạn nhân và thay thế các công cụ tìm kiếm mặc định cũng như các trang chủ bằng công cụ tìm kiếm giả mạo (trotux.com).
Các chuyên gia an ninh cho biết: "Một điều quan trọng cần phải nhớ là khi người dùng cài đặt phần mềm miễn phí, malware không cần thiết phải được tải về ngay lúc đó. Hơn nữa, có khả năng Rafotech đang sử dụng các phương pháp bổ sung như phát tán phần mềm miễn phí dưới tên giả mạo, spam, hoặc thậm chí mua quyền cài đặt từ các hacker."
Công cụ tìm kiếm giả mạo chuyển hướng các truy vấn của nạn nhân đến Yahoo.com hoặc Google.com và có chứa các pixel theo dõi để thu thập thông tin của nạn nhân.
Fireball có khả năng theo dõi lưu lượng truy cập web của nạn nhân, thực thi bất kỳ mã độc hại nào trên các máy tính bị nhiễm, cài đặt các plug-in và thậm chí chèn malware, từ đó tạo ra một lỗ hổng an ninh nghiêm trọng trong các hệ thống và mạng mục tiêu.
Cũng theo các chuyên gia, từ góc độ kỹ thuật, Fireball cho thấy các kỹ thuật tránh bị phát hiện cực kỳ phức tạp và tinh vi, bao gồm khả năng chống phát hiện, cấu trúc nhiều lớp và một C&C linh hoạt – khiến nó không hề thua kém một malware điển hình nào.
Hiện tại, phần mềm quảng cáo Fireball đang chiếm quyền lưu lượng truy cập web của người dùng để tăng quảng cáo và kiếm doanh thu, đồng thời, nó có khả năng phân phối malware.
Các nhà nghiên cứu cho biết: "Dựa vào tỷ lệ lây nhiễm ước tính của chúng tôi, theo kịch bản như trên, 1/5 công ty trên toàn thế giới sẽ dễ bị tấn công trước chiến dịch xâm nhập nghiêm trọng này."
Cụ thể, hơn 250 triệu máy tính bị nhiễm trên toàn thế giới, 20% trong số đó là mạng của các công ty:
• 25,3 triệu máy ở Ấn Độ (10,1%)
• 24,1 triệu máy ở Braxin (9,6%)
• 16,1 triệu ở Mexico (6,4%)
• 13,1 triệu ở Indonesia (5,2%)
• 5,5 triệu Tại Hoa Kỳ (2,2%)
Các nhà nghiên cứu đưa ra cảnh báo về mức độ nghiêm trọng của chiến dịch này. "Hãy thử tưởng tượng một loại thuốc trừ sâu được trang bị một quả bom hạt nhân. Rất nhiều hacker sẽ muốn có một phần nhỏ sức mạnh của Rafotech."
Các dấu hiệu cảnh báo máy tính bị lây nhiễm Fireball
Nếu "KHÔNG" là câu trả lời cho bất kỳ câu hỏi nào sau đây, có nghĩa là máy tính của bạn bị nhiễm Fireball hoặc adware tương tự.
Mở trình duyệt web của bạn và kiểm tra:
1. Bạn đã thiết lập trang chủ của mình chưa?
2. Bạn có thể sửa đổi trang chủ trình duyệt của mình?
3. Bạn có thấy công cụ tìm kiếm mặc định của mình quen thuộc không và có thể sửa đổi nó không?
4. Bạn có nhớ đã cài đặt tất cả các mở rộng trình duyệt của mình không?
Để gỡ bỏ adware, chỉ cần gỡ bỏ cài đặt ứng dụng tương ứng từ máy tính của bạn (hoặc sử dụng phần mềm dọn dẹp adware) và khôi phục /reset cấu hình trình duyệt của bạn về cài đặt mặc định.
Người dùng được khuyến cáo phải rất cẩn trọng khi cài đặt phần mềm, vì các bộ cài phần mềm thường bao gồm cài đặt tùy chọn. Lựa chọn cài đặt tùy chỉnh và sau đó bỏ chọn bất cứ thứ gì không cần thiết hoặc không quen thuộc.
Nguồn: Hackernews
Chỉnh sửa lần cuối: