Một nhóm các nhà nghiên cứu bảo mật vừa thông báo về một loại mã độc mới, một đoạn phần mềm độc hại mới kết hợp ransomware và các khả năng botnet trong một gói đơn lẻ được họ đặt tên là Virobot, đang lây lan nhanh qua email và rất nguy hiểm.
- Mối đe dọa này không chỉ mã hóa các tệp tin trên các máy bị ảnh hưởng mà nó còn khiến cho hệ thống trở thành một botnet spam và làm lây lan sang các máy hệ thống khác.
- Virobot này tống tiền người dùng bằng cách mã hoá máy tính (ransomware), đặc biệt là nó đang lây lan rất nhanh qua email và có thể theo dõi hành vi gõ phím người dùng.
- Virobot kiểm tra các máy bị ảnh hưởng để lấy các khóa đăng ký cụ thể để quyết định xem có nên mã hóa hệ thống hay không.
- Virobot này sử dụng một bộ tạo số mã hóa ngẫu nhiên để tạo khóa mã hóa và giải mã, sau đó được gửi cùng với dữ liệu mà máy thu thập được tới máy chủ điều khiển bằng lệnh (C&C) thông qua POST (Phương thức được sử dụng chủ yếu trong lập trình web).
Khi tồn tại trên máy tính của nạn nhân, Virobot sẽ tạo một mã khoá ngẫu nhiên để mã hoá tất cả các tài liệu quan trọng trên máy.
Các file mà Virobot nhắm đến thường có đuôi là TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN PHP, ASP, ASPX, HTML, XML, PSD, PDF và SWP… cho thấy khả năng bao phủ của Virobot rất rộng. Sau khi quá trình mã hoá các file kết thúc, Virobot sẽ hiện một dòng thông báo đòi tiền chuộc trên màn hình của người dùng. (Thông báo tiền chuộc bằng tiếng Pháp)
- Ngoài mã hoá máy tính, mã độc Virobot còn có tính năng như một botnet và spam. Trường hợp người dùng nhiễm ransomware này thông qua ứng dụng email Microsoft Outlook, Virobot sẽ tự động lấy danh sách liên lạc email trong máy của người đó để phát tán cho những người dùng khác một email chứa phần mềm ransomware này. Chính điều này đã làm cho ransomware này lây lan cực nhanh và nguy hiểm vô cùng.
- Mã độc này còn bao gồm một hệ thống keylogger đơn giản, có thể ghi lại tất cả các thao tác gõ bàn phím của người dùng, sau đó gửi tất cả thông tin này đến một máy chủ. Bàn phím bị theo dõi được lưu lại từ máy tính bị ảnh hưởng sau đó được chuyển đến C&C (Command and Control servers)
- Nguy hiểm hơn khi đã kết nối tới máy chủ, Virobot cũng cho phép người tạo ra ransomware này tải xuống phần mềm độc hại khác từ máy chủ của ransomware, malware nhị phân và thực thi nó nhờ sử dụng PowerShell.
Virobot cũng không phải là ransomware đầu tiên đi kèm với keylogger hoặc các thành phần khác. Trước đó, nhiều phần mềm độc hại đã được phát tán gần đây như LokiBot, Rakhni XBash,… cũng thường đi kèm với nhiều tính năng khác, như đào tiền ảo, botnet, keylogger,… với mục tiêu nhắm đến là nhiều đối tượng khác nhau, từ người dùng cá nhân cho đến đến các tổ chức, ngân hàng.
- Những khả năng của botnet Virobot được đóng gói với việc sử dụng một Microsoft Outlook của một máy đã bị lây nhiễm để gửi những email spam tới một danh sách liên hệ của người dùng.
- Virobot gửi bản sao của chính nó hoặc đoạn payload độc hại đã được tải vể từ máy chủ C&C.
“Các cá nhân và doanh nghiệp nên sử dụng phương pháp tiếp cận đa lớp để giảm thiểu rủi ro gây ra bởi các mối đe dọa như ransomware”.
Nguồn sưu tầm.
