Hiện tại trên mạng đang xuất hiện một dạng phần mềm độc hại mới mà theo Microsoft đã lây nhiễm vào hàng ngàn máy tính. Nghiêm trọng hơn, có vẻ như các chương trình chống virus sẽ không thể phát hiện ra.
Lý do gì mà các chương trình này không phát hiện ra? Thứ nhất, các phần mềm này vẫn chưa được định danh và thứ hai, chúng sử dụng các tiện ích hệ thống theo cách thức hoàn toàn hợp pháp và nó sẽ dùng các công cụ này để mở rộng chức năng can thiệp thay vì chủ động sử dụng bất kỳ đoạn mã độc hại riêng nào của mình.
Với việc dùng các công cụ hợp pháp được cài trong máy tính, chúng rất khó bị phát hiện ra khi kẻ tấn công đã “pha trộn” các hoạt động độc hại với những hoạt động mạng thông thường, và chúng rất ít để lại dấu vết.
Microsoft và Cisco Talos cho biết các phần mềm độc hại này có khả năng biến PC thành proxy để thực hiện hoạt động độc hại. Hiện tại, Microsoft đặt tên cho dạng phần mềm này là Nodersok trong khi Cisco Talos gọi nó là Divergent.
Microsoft và Cisco Talos đã phát hành báo cáo mối đe dọa về phần mềm độc hại này vào thứ Tư, ngày 25 tháng 9 trong các bài đăng trên blog của hãng. Theo các nhà nghiên cứu của Microsoft, một khi Nodersok biến máy tính thành các proxy, kẻ tấn công sẽ sử dụng chúng như một “trung gian” để truy cập các mạng khác (trang web, máy chủ công ty, doanh nghiệp,…), điềucó thể cho phép chúng thực hiện các hoạt động độc hại lén lút mà rất khó bị phát hiện.
Mặc dù cả hai công ty đều có ý kiến khác nhau về chính xác những gì phần mềm độc hại này ảnh hưởng, các nhà nghiên cứu của Cisco Talos nói rằng “Phần mềm độc hại này có thể được kẻ tấn công sử dụng để nhắm mục tiêu vào các mạng công ty và hiện tại chúng được thiết kế chủ yếu để thực hiện hành vi gian lận nhấp chuột.”
Microsoft tuyên bố hãng đã cập nhật để Windows Defender có thể xác định và chặn Nodersok, tuy nhiên việc phát hiện phần mềm độc hại này có thể hơi khó khăn vì nó tận dụng hầu hết những “hoạt động hợp pháp” trên máy nạn nhân.
Theo The Hacker News