• Bầu cử Quốc hội Mỹ giữa nhiệm kỳ

    Cập nhật: 10:15 17/11/2022

    Hạ viện
    210 Dân chủ
    218 Cộng hòa
    7 chưa xác định
    218
    Thượng viện
    50 Dân chủ
    49 Cộng hòa
    1 chưa xác định
    50

Chia sẻ Hacker giả mạo trang tải Windows 11 để phát tán mã độc

T
Trả lời: 2 Lượt xem: 604
Hacker đang dụ những người dùng ngây thơ tải về Windows 11 giả mạo có chứa mã độc đánh cắp dữ liệu trình duyệt và ví tiền điện tử.

Trong chiến dịch vẫn đang hoạt động này, hacker tạo ra một trang web bắt chước trang quảng cáo Windows 11 của Microsoft. Sau đó, chúng dùng các thủ thuật SEO bẩn để đưa tran giả mạo này lên top kết quả tìm kiếm Google.

Trang web giả có logo, biểu tượng y hệt trang chính chủ của Microsoft và có nút "Download Now" đầy mời gọi. Khi nhấn nút tải xuống, người dùng sẽ nhận được một tệp ISO chứa phần mềm đánh cắp thông tin ở bên trong. Hacker cũng thiết kế để người dùng chỉ có thể tải file trực tiếp, không khả dụng qua TOR hay VPN.

Phần mềm độc hại này đã được các nhà nghiên cứu về mối đe dọa an ninh mạng tại CloudSEK phân tích khá chi tiết.


-gia-mao-trang-tai-windows-11-de-phat-tan-ma-doc-3.jpg


Trang tải Windows 11 giả mạo

Quá trình lây nhiễm​

Theo CloudSEK, hacker đứng đằng sau chiến dịch này sử dụng một phần mềm độc hại mới. Các nhà nghiên cứu đặt tên cho nó là "Inno Stealer" do nó sử dụng trình cài đặt Inno Setup Windows.

Các nhà nghiên cứu nói rằng, Inno Stealer không có bất cứ dòng code nào giống với phần mềm độc hại mà các nhóm hacker đánh cắp thông tin hiện tại đang dùng. Ngoài ra, chưa có bằng chứng nào về việc Inno Stealer được tải lên nền tảng quét Virus Total.

Tệp trình tải (lập trình bằng Delphi) là tệp thực thi "Windows 11 setup" có trong file ISO. Khi khởi chạy, tệp này sẽ tạo ra kết xuất tệp tạm thời có tên là is-PN131.tmp và tạo tệp .TMP khác trong đó trình tải ghi 3.078KB dữ liệu.

CloudSEK giải thích rằng, trình tải tạo ra một quy trình mới bằng cách sử dụng API CreateProcess Windows, giúp sinh ra quy trình mới, thiết lập tính bền bỉ và tạo bốn tệp.

Tính bền bỉ được tạo ra bằng cách thêm tệp .LNK (shortcut) trong thư mục Startup và sử dụng icacls.exe để đặt quyền truy cập của nó về dạng lén lút.


-gia-mao-trang-tai-windows-11-de-phat-tan-ma-doc-2.jpg


Quá trình lây nhiễm của Inno Stealer

Hai trong số bốn tệp được thêm vào là Windows Command Scripts để vô hiệu hóa bảo mật Registry, thêm ngoại lệ vào Defender, gỡ cài đặt các sản phẩm bảo mật và xóa các volume shadow.

Theo các nhà nghiên cứu, mã độc này cũng loại bỏ các giải pháp bảo mật của hãng Emisoft và ESET, có thể là do những sản phẩm này phát hiện ra nó là phần mềm độc hại.

Tệp thứ ba là một tiện ích thực thi lệnh chạy với các đặc quyền hệ thống cao nhất và tệp thứ tư là một tập lệnh VBA cần thiết để chạy dfl.cmd.

Ở giai đoạn thứ 2 của quá trình lây nhiễm, một tệp có phần mở rộng là .SCR được đưa vào thư mục C:\Users\AppData\Roaming\Windows11InsstallationAssistant của máy bị nhiễm.

Tệp đó là tác nhân giải nén những payload đánh cắp thông tin và thực thi nó bằng cách tạo ra một quy trình mới có tên "Windows11InstallationAssistant.scr" giống hệt chính nó.

Inno Stealer có thể làm gì?​

Inno Stealer có các khả năng như thu thập cookie và thông tin đăng nhập được lưu trữ của trình duyệt web, dữ liệu trong ví tiền điện tử và dữ liệu từ hệ thống file. Hầu như mọi chức năng cần thiết của một phần mềm độc hại trong lĩnh vực này Inno Stealer đều có.

Tập hợp các trình duyệt và ví tiền điện tử mà Inno Stealer nhắm vào rất rộng, bao gồm Chrome, Edge, Brave, Opera, Vivaldi, 360 Browser và Comodo.

er-gia-mao-trang-tai-windows-11-de-phat-tan-ma-doc.jpg


Các trình duyệt mục tiêu của Inno Stealer

-gia-mao-trang-tai-windows-11-de-phat-tan-ma-doc-1.jpg

Các ví điện tử mục tiêu của Inno Stealer

Một đặc điểm thú vị khác của Inno Stealer đó là các chức năng ăn cắp dữ liệu và quản lý mạng đều hoạt động đa luồng. Ngoài ra, nó còn có thể tải về thêm các payload khác để thực hiện những hoạt động bổ sung như đánh cắp thông tin trong clipboard và lấy dữ liệu liệt kê thư mục.

Người dùng nên làm gì?​

Đây không phải là lần đầu tiên hacker lợi dụng nhu cầu tải về và cài đặt Windows 11 để phát tán mã độc. Bạn nên tránh tải về các tệp ISO từ nguồn không đảm bảo và tốt nhất là nâng cấp lên Windows 11 từ menu Settings của Windows 10.

Theo: Quản trị mạng
 
Từ khóa
hacker mã độc windows 11
2 Bình luận

Facebook Comments

Khách

Thống kê trực tuyến

Thành viên trực tuyến
1
Khách ghé thăm
125
Robot trực tuyến
0
Tổng số truy cập
126

Textlink

Thanh toán nhanh



Ủng hộ forum VNT

Forum VNT rất mong nhận được tấm lòng hảo tâm của bạn
Back
Top
Cảm ơn bạn đã ghé thăm, nếu bạn đọc được dòng chữ này có nghĩa là bạn chưa đăng ký hoặc đăng nhập. Vui lòng nhấp vào đây để đăng ký tài khoản mới hoặc vào đây để đăng nhập. Chúc bạn có những phút giây thật vui vẻ và thoải mái!