Theo hãng bảo mật Trend Micro, tin tặc đang nhắm vào người dùng Word và Excel bằng một phần mềm độc hại bòn rút dữ liệu mới hết sức tinh vi.
Phần mềm độc hại này đã xuất hiện được một thời gian, nhưng gần đây Trend Micro phát hiện một loại mới là Crigent (còn gọi là Power Worm) với những phương thức mới.
Mối đe dọa này xuất hiện dưới dạng một tài liệu Word hoặc Excel độc hại mà người dùng có thể tải về hay truy cập. Sau khi mở ra, ngay lập tức nó tải thêm hai phần mở rộng từ hai mạng ẩn danh nổi tiếng là mạng lưới Tor và Polipo (một cache/proxy web cá nhân).
Ở giai đoạn đầu của cuộc tấn công, tội phạm mạng nhắm vào một lỗ hổng trên Windows PowerShell để ăn cắp thông tin hệ thống quan trọng của nạn nhân, bao gồm địa chỉ IP, vị trí, tài khoản người dùng, phiên bản hệ điều hành, kiến trúc, ngôn ngữ, cũng như các ứng dụng Microsoft Office và phiên bản Office đang chạy.
PowerShell là một trình tiện ích dòng lệnh và ngôn ngữ kịch bản sẵn có ở tất cả các phiên bản Windows hiện nay và được xây dựng trước đó trên Windows7 và Windows 8. Sử dụng PowerShell là việc không điển hình, cho thấy đây chỉ là giai đoạn đầu trong một chiến dịch lớn hơn.
Mục đích của cuộc tấn công là thu thập thông tin để tận dụng trong các chiến dịch hiện tại hoặc sau này. Thông tin đặc biệt mà tội phạm muốn thu thập là các phiên bản và ứng dụng Microsoft Office.
Việc sử dụng mạng lưới ẩn danh Tor và Polipo thực sự nguy hiểm vì nó che đậy các động thái trực tuyến của tội phạm. Phần mềm độc hại sử dụng mạng lưới Tor khiến hệ thống đã bị lây nhiễm liên lạc với máy chủ chỉ huy và kiểm soát (C &C) để có thêm chỉ dẫn, cụ thể là truyền thông tin thu thập được cho bộ thu nhận trung tâm. Tội phạm mạng tận dụng khả năng ẩn danh của mạng lưới Tor bằng nhiều cách khác nhau.
Các cuộc tấn công sử dụng mạng lưới Tor đang là vấn đề mà cộng đồng an ninh phải đối mặt. Tội phạm mạng có thể sẽ gây nên một làn sóng tấn công tân tiến sử dụng mạng lưới Tor vào đầu quí 2 năm nay.
NHẬT TRƯỜNG