Công ty an ninh mạng CyRadar vừa đưa ra cảnh báo về một loại mã độc mới, có thể chiếm quyền điều khiển máy tính. Mã độc này hoạt động dựa trên lỗ hổng có tên.SettingContent-ms của Windows.
Qua phân tích, CyRadar nhận định mã độc khai thác thành phần nhúng vào tệp .pdf là .SettingContent-ms để thực hiện tải và chạy tệp nhị phân trên Windows 10. Các tệp .SettingContent-ms chứa các đường dẫn đến các tệp khác và có vai trò như một tệp shortcut dẫn đến các trang điều khiển trong Windows, ví dụ thực tế nó dùng là tệp shortcut để mở tới ControlPanel.
Nội dung tệp .SettingContent-ms 'sạch' được sử dụng trong Windows.
Tuy nhiên hacker đã can thiệp và thêm vào một số dòng lệnh độc hại vào file pdf, sau đó gửi mạo danh đến người dùng.
Nội dung tệp .SettingContent-ms 'độc' được nhúng vào file .pdf
Khi người dùng mở một file pdf đã bị nhiễm mã độc, ngay lập tức công cụ PowerShell được kích hoạt lên và thực thi tải về mã độc có tên update2.exe từ địa chỉ mạng hxxp://16[.239.129.117/cal.
Phân tích mã độc sau khi được kích hoạt
Các chuyên gia của CyRadar đi sâu vào phân tích file nhị phân update2.exe của mã độc và phát hiện rằng, mã độc tiếp tục tải về một tập tin độc hại khác có tên wsus.exe – từ địa chỉ mạng url. hxxp://169.239.129.117/Yjdfel765Hs.
Sau khi khởi chạy tập tin wsus.exe, mã độc sẽ tạo ra thành phần khởi động cùng windows hoặc tại ra một lịch biểu hoạt động. Điều này giúp mã độc luôn hoạt động trên máy tính kể cả khi người dùng khởi động hoặc tắt nguồn máy tính.
Sau khi lây nhiễm, mã độc sẽ tiến hành các hành động kiểm soát máy tính thông qua 7 tên miền mạo danh.
7 tên miền mạo danh được tạo ra để điều khiển mã độc thực thi lệnh từ xa.
Khuyến cáo phòng tránh mã độc giả mạo file pdf
- Cảnh giác và kiểm tra kỹ email được nhận, các tệp hoặc link đính kèm trong các email đó.
- Đối với người dùng cá nhân, thường xuyên cập nhật Windows Defender phiên bản mới nhất.
- Đối với doanh nghiệp, cần sử dụng các công nghệ scan email để ngăn chặn các chiến dịch tấn công qua email. Đồng thời, sử dụng các công nghệ giám sát mạng để phát hiện kịp thời máy tính có dấu hiệu nhiễm mã độc.
Nguồn: cyradar
Tech Funny
![[WP] Cách chia đôi màn hình để vừa Youtube vừa Facebook, đọc báo](http://cdn.trangcongnghe.vn/thumb/160x240/2016-11/thumbs/wp-c225ch-chia-d244i-m224n-h236nh-de-vua-youtube-vua-facebook-doc-b225o_1.jpeg)
![[Review] iPad Pro 10.5 + Smart Keyboard đã làm mình muốn rời xa MacBook Pro](http://cdn.trangcongnghe.vn/thumb/160x240/2017-08/thumbs/review-ipad-pro-105-smart-keyboard-da-lam-minh-muon-roi-xa-macbook-pro_3.jpg)
