Chuyển đổi số

CMC cảnh báo chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt Nam

DNVN - Ngày 3/12/2019, CMC đã phát đi cảnh báo về việc hệ thống giám sát và phòng thủ mã độc tập trung CMDD của Công ty CMC Cyber Security vừa phát hiện được mẫu mã độc sử dụng kỹ thuật mới lợi dụng phần mềm Unikey để tấn công người dùng Việt Nam.

Ứng dụng công nghệ số tiềm ẩn nhiều nguy cơ mất an toàn, an ninh mạng / Blockchain và số hóa làm nóng Diễn đàn kinh doanh IBEC

Theo cảnh báo của CMC, đây là chiến dịch tấn công được đầu tư nghiên cứu kỹ, rất nguy hiểm vì Unikey hiện là bộ gõ tiếng Việt phổ biến nhất ở Việt Nam.

Thông thường bộ cài Unikey gồm 2 tập tin chính là UnikeyNT.exe và UKhook40.dll. Trong phiên bản mới, UKHook40.dll đã được tích hợp luôn vào file UnikeyNT.exe. Khi chạy Unikey sẽ tải layout bàn phím us – qua đó thực thi dll kdbus.dll của windows. Lợi dụng đặc điểm này, hacker đã chèn vào một tập tin kbdus.dll độc hại vào cùng thư mục với UnikeyNT.exe để tệp tin này được ưu tiên tải lên thay vì dll của windows. Vì thế khi Unikey được bật, thì đồng thời, mã độc cũng sẽ được thực thi theo mà không gây nghi ngờ gì cho người dùng.

a

Khi tập tin mã độc kbdus.dll được chạy, nó sẽ đọc giá trị đặc biệt đã được chuẩn bị sẵn tại khóa registry HKEY_CLASS_ROOT\.kci\PersistenHandler tên là: “CB5JQLWSYQP2CWVRMJ8NB4CCUE1B8K4A” để lấy thông tin về C&C sẽ kết nối tới.

Sau đó, mã độc tiếp tục đọc và thực thi payload chính nằm trong cùng khóa trên có giá trị “F430D64D98E6EAC972380D568F080E08”. Payload và các giá trị đặc biệt này đều được mã hóa và chỉ decrypt trong quá trình thực thi của mã độc, qua đó tránh được sự giám sát của các công cụ bảo mật.

b

Sau khi tải payload lên bộ nhớ, mã độc sẽ thu thập các thông tin của máy tính nạn nhân. Các thông tin thu thập được sẽ được mã hóa và gửi đến C&C server. Sau khi có được thông tin cần thiết, mã độc sẽ thực thi command từ C&C để thực hiện các hành vi nguy hiểm khác.

Chuyên gia của CMC Cyber Security khuyến cáo người sử dụng nên kiểm tra kỹ thư mục cài đặt Unikey, loại bỏ file kbdus.dll cùng thư mục hoặc sử dụng sản phẩm chống mã độc để bảo vệ máy tính của mình và chỉ sử dụng unikey chính chủ tải từ trang web chính thức của phần mềm Unikey.org.

Theo ghi nhận của CMC Cyber Security Lab, các cuộc tấn công APT hiện nay được tổ chức tinh vi với các kỹ thuật mới liên tục được cập nhật.

Các cơ quan, tổ chức cần có ý thức cao trong việc đảm bảo an ninh an toàn thông tin cho hệ thống của mình, kịp thời cập nhật các cảnh báo của các đơn vị chức năng chuyên trách về ANATTT để có phương án rà soát, phòng chống và ứng phó trước các mối nguy hại có thể xảy ra.

Hiện nay, Công ty CMC Cyber Security đã cập nhật mẫu mã độc kbdus.dll trong phần mềm phòng chống mã độc CMDD (CMC Malware Detection and Defense), CMC Internet Security, CMC Antivirus . Người dùng có thể tải phần mềm diệt virus miễn phí CMC Antivirus tại đây.

Nhật Xuân

End of content

Không có tin nào tiếp theo

Xem nhiều nhất

 

Có thể bạn quan tâm