Trend Micro đã phát hiện ra một ví dụ về mối đe dọa mới này và đó là một cảnh báo về những gì đang xảy ra – JS_POWMET.
Các chuyên gia của Infosec dành hầu hết thời gian để đối phó với các mối đe dọa thông thường xuất hiện trên mạng mỗi ngày.
Mặt khác, bọn hacker cũng dành thời gian tìm ra những cách thức mới để tránh bị phát hiện. Một trong những phần mềm độc hại mới nhất là tệp tin ẩn, được thiết kế để tránh các phòng thủ sandbox.
Cuộc tấn công bắt đầu bằng cách lây nhiễm vào Windows Registry. Trojan này sẽ được tải xuống bởi những người dùng truy cập các trang web độc hại. Điều đó kéo JS_POWMET từ một máy chủ lệnh và kiểm soát, cho phép thực hiện các tập lệnh tùy ý mà không lưu các tập tin XML trên máy.
Một khi JS_POWMET được thực hiện, nó sẽ tải về một tệp khác, TROJ_PSINECT, một tập lệnh Powershell chạy dưới tiến trình Powershell. TROJ_PSINJECT sẽ kết nối với một trang web để tải xuống một tệp thông thường có tên favicon. Tệp đó sẽ được giải mã và được tiêm vào quá trình sử dụng ReflectivePELoader để chèn các tệp tin EXE / DLL.
Sau đó, malware ẩn này sẽ thu thập thông tin hệ thống bao gồm các đặc quyền của quản trị viên, số series, phiên bản hệ điều hành và địa chỉ IP. Trend Micro cảnh báo rằng JS_POWMET còn có khả năng tấn công hơn thế.
Trend Micro cho biết, một trong những phương pháp hiệu quả hơn để giảm thiểu malware này là hạn chế truy cập vào các trang web không rõ nguồn gốc. Đối với phần mềm độc hại này, bạn cũng nên xem xét việc vô hiệu hóa Powershell nếu như các thành phần khác của Windows không đến cần nó.
“Các tổ chức và người dùng nên luôn nhìn xa hơn về các tập tin ẩn mà mình hầu như không để ý đến”, nhà cung cấp cảnh báo.
Tuấn An