Mã độc Dharma giả làm phần mềm diệt virus để đánh lừa người dùng

ictnews Theo Trend Micro, mã độc Dharma có hình thái tấn công mới bằng cách giả làm phần mềm diệt virus ESET để lừa người dùng, sau đó sẽ mã hoá dữ liệu của họ để đòi tiền chuộc.

Kể từ khi được phát hiện lần đầu vào năm 2016, mã độc Dharma (hay còn gọi là Đạt Ma) đã không ngừng phát triển và liên tục “đòi tiền chuộc” từ người dùng Internet trên toàn thế giới.

Gần đây, các chuyên gia từ Trend Micro đã phát hiện hình thái tấn công mới từ loại mã độc này: ngụy trang như một phần mềm an toàn  để người dùng tải về máy, sau đó mới phát tán mã độc tống tiền.

Hậu quả lớn nhất được ghi nhận là vào tháng 11 năm 2018 khi mã độc này làm tê liệt toàn bộ hệ thống của một bệnh viện bang Texas, Mỹ. Dharma đã mã hóa gần như toàn bộ hồ sơ lưu trữ, may mắn là bệnh viện này sau đó đã có thể phục hồi dữ liệu mà không phải trả tiền chuộc.

Hình thái mới được phát hiện gần đây của Dharma sử dụng giao diện cài đặt của phần mềm diệt virus ESET, đây được xem như là 1 cách “tung hỏa mù” của mã độc này khiến nạn nhân mất cảnh giác.

Mã độc này được các hacker phân tán trên mạng Internet thông qua hình thức spam email có đính kèm Dharma lưu trữ dưới dạng nhị phân, mỗi email kèm theo mật khẩu riêng, trong đó sẽ có 1 định dạng file là Defender.exe.

Minh họa cách mã độc Dharma phát tán.

Hacker cung cấp mật khẩu để mở tệp độc hại đính kèm trong email spam khiến nạn nhân tò mò mở file, từ đó lây nhiễm mã độc Dharma trên máy của họ.

Một email spam phát tán Dharma.

Mỗi khi file Defender.exe được nạn nhân bấm vào, nó sẽ hiển thị bằng giao diện cài đặt cũ của phần mềm diệt virus ESET dưới tên là Defender_nt32_othy.exe, và song song là một file taskhost.exe được thêm vào thư mục tự động khởi chạy. Đây chính là lúc Dharma cài đặt và bắt đầu tiến trình mã hóa dữ liệu của nạn nhân cho mục đích tống tiền.

Thư mục được giải nén và xuất hiện taskhost.exe (mã độc Dharma).

Phần mềm diệt virus ESET do mã độc Dharma ngụy trang sẽ tiến cài hành cài đặt tự động khi được kích hoạt trong thư mục đã giải nén, trong lúc sự chú ý tập trung vào việc cài đặt thì mã độc Dharma sẽ mã hóa các nội dung một cách âm thầm mà nạn nhân không hề hay biết.

Giao diện cài đặt phần mềm ESET.

 

Các bài test cho thấy mã độc Dharma đang mã hóa các file trong máy tính bằng cách thêm đuôi mở rộng ETH, đồng thời kèm theo email để liên lạc với kẻ đã tấn công và mã hóa máy tính của nạn nhân Engima1crypt@aol.com.

Các file bị mã độc Dharma mã hóa.

Sau khi tiến trình mã hóa dữ liệu hoàn thành, nạn nhân sẽ liên tục nhận được thông báo từ Hacker như sau:

Màn hình hiển thị thông báo từ máy tính nạn nhân.

Theo như báo cáo từ các chuyên gia bảo mật Trend Micro về mã độc Dharma, các mã độc này vẫn sẽ mã hóa file dữ liệu thậm chí không cần phải bắt đầu tiến trình cài đặt. Mã độc gây hại này chạy trên một phiên bản khác với cài đặt phần mềm, vì vậy chúng gần như chẳng liên quan gì nhau.

Quá trình cài đặt thực chất là một đòn “dương Đông kích Tây” để đánh lừa nạn nhân rằng không có hoạt động gây hại nào đang xảy ra cả mà bạn chỉ đang cài phần mềm bảo vệ máy tính thôi.

Trong quá khứ, tội phạm mạng đã sử dụng các công cụ xác thực, và chiến thuật mới của Dharma về việc sử dụng trình cài đặt từ một phiên bản diệt virus cũ có thể là một xu hướng tấn công mới mà những hacker đang muốn hướng đến trong tương lai.

Làm thế nào để phòng chống mã độc?

Để chuẩn bị tốt nhất và phòng ngừa cho trường hợp bị mã độc Dharma tấn công, các chuyên gia bảo mật từ Trend Micro khuyên người dùng và các tổ chức nên có những phòng vệ như sau:

Bảo vệ an toàn cổng email, không bấm vào những rmail không rõ nguồn gốc hoặc có vẻ đáng nghi ngờ; Thường xuyên sao lưu các dữ liệu trên máy tính; Luôn cập nhật thường xuyên phần mềm diệt virus phiên bản mới nhất, bao gồm cả bản vá.

Thực thi nguyên tắc đặc quyền tối thiểu: Người dùng, máy tính hay ứng dụng chỉ được cấp các quyền hạn đủ để thực hiện yêu cầu, công việc của họ. Ngoài ra, kiểm soát chặt chẽ việc cấp thêm quyền hạn mới và thu hồi các quyền hạn không dùng tới.

Bảo mật theo chiều sâu: bảo mật theo nhiều lớp luôn sẽ giúp nhiều cho việc kiểm soát ứng dụng và giám sát hành vi giúp ngăn chặn các sửa đổi không mong muốn hay khi mở những file bất thường; Phổ biến kiến thức an ninh sử dụng internet thường xuyên cho văn phòng làm việc.

 
List comment
 
Hơn 11.000 học sinh cả nước dự vòng quốc gia thi giải Toán, Vật lí qua mạng
icon

Hơn 11.000 học sinh từ 50 tỉnh thành trên cả nước đã tham dự vòng quốc gia cuộc thi giải Toán, Vật lí qua mạng Internet - Violympic năm học 2019 - 2020 được tổ chức ngày 28/6.

 
Sửa xong cáp biển APG, Internet Việt Nam đi quốc tế bình thường trở lại
icon

Việc sửa chữa, khắc phục các sự cố xảy ra ngày 30/4 và 23/5/2020 trên tuyến cáp quang biển APG đã được đối tác quốc tế hoàn thành, khôi phục hoàn toàn dung lượng kết nối Internet Việt Nam đi quốc tế.

 
Điều gì sẽ xảy ra sau chiến dịch tẩy chay quảng cáo Facebook?
icon

Tuần trước, hàng loạt công ty ra mặt ủng hộ chiến dịch tẩy chay quảng cáo trên Facebook #StopHateForProfit. Chuyện sẽ diễn biến theo chiều hướng nào?

 
Cập nhật những xu hướng công nghệ mới nhất hội tụ tại Schneider Electric Innovation Day 2020
icon

Thế giới đang chuyển mình nhanh chóng, và các doanh nghiệp, trong guồng quay kinh tế số, cũng đã không ngừng chuyển đổi để tạo ra lợi thế cạnh tranh riêng. Vậy đâu là hướng đi để các doanh nghiệp có thể chuyển đổi số linh hoạt nhất? 

 
YouTube thay đổi chính sách tính phí tại Hàn Quốc sau khi bị phạt tiền
icon

Ngày 25/6, Ủy ban Truyền thông Hàn Quốc (KCC) cho biết, Hàn Quốc là quốc gia đầu tiên mà Google sẽ thay đổi chính sách tính phí cho dịch vụ cao cấp của YouTube (YouTube Premium) kể từ ngày 28/8.

 
 
Mark Zuckerberg cuối cùng cũng phải nhượng bộ
icon

Bị gần 100 đối tác quay lưng, Mark Zuckerberg cho biết Facebook sẽ siết chặt chính sách quảng cáo và dán nhãn nội dung trên nền tảng của mình.

Công bố 6 dịch vụ công mới trên Cổng dịch vụ công quốc gia
icon

Buổi họp báo công bố 6 dịch vụ mới cung cấp cho người dân, doanh nghiệp trên Cổng dịch vụ công quốc gia sẽ được tổ chức ngày 1/7 tới tại Hà Nội.

Bảy trường đại học kỹ thuật tại Việt Nam thống nhất phát triển chương trình đào tạo
icon

Để nâng cao chất lượng đào tạo, phù hợp với thông lệ và chuẩn mực quốc tế, lần đầu tiên 7 trường đại học kỹ thuật hàng đầu Việt Nam đã cùng ký kết thống nhất những nguyên tắc chung trong phát triển chương trình đào tạo Kỹ sư.

Elon Musk chế giễu CEO Amazon là kẻ bắt chước
icon

CEO Tesla Elon Musk công khai gọi Jeff Bezos, CEO Amazon, là kẻ bắt chước sau khi có tin Amazon mua lại startup xe tự lái Zoox.  

Microsoft đóng cửa toàn bộ cửa hàng bán lẻ, tập trung bán qua mạng
icon

Microsoft hôm 26/6 thông báo sẽ đóng cửa vĩnh viễn tất cả các điểm bán lẻ Microsoft Store và tập trung vào cửa hàng trực tuyến Microsoft.com.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123