StripedFly: Phần mềm khai thác ẩn giấu mã độc an ninh mạng phức tạp, có khả năng thực hiện các hoạt động gián điệp

StripedFly: Phần mềm khai thác ẩn giấu mã độc an ninh mạng phức tạp, có khả năng thực hiện các hoạt động gián điệp

Các chuyên gia an ninh mạng Kaspersky vừa qua đã phát hiện phần mềm độc hại mới cực kỳ tinh vi mang tên StripedFly có tầm ảnh hưởng rộng rãi trên toàn cầu với hơn 1 triệu nạn nhân kể từ năm 2017. Ban đầu, StripedFly hoạt động như một công cụ khai thác tiền điện tử. Thế nhưng sau đó lại được phát hiện là một phần mềm độc hại phức tạp với cấu trúc lây lan đa chức năng (multi-functional wormable framework).

StripedFly: Phần mềm khai thác ẩn giấu mã độc an ninh mạng phức tạp, có khả năng thực hiện các hoạt động gián điệp

Năm 2022, Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã gặp phải hai phát hiện không mong muốn trong quy trình WININIT.EXE được kích hoạt bởi các chuỗi mã được quan sát trước đó trong phần mềm độc hại Equation. Theo đó, hoạt động của phần mềm độc hại StripedFly diễn ra ít nhất từ năm 2017 và đã thành công tránh được sự quan sát trước đó bởi chúng thường được nhầm lẫn với các công cụ khai thác tiền điện tử thông thường. Sau khi xem xét kỹ lưỡng vấn đề, các chuyên gia phát hiện ra rằng công cụ khai thác tiền điện tử thực chất chỉ là một phần nhỏ của một thực thể lớn hơn nhiều của StripedFly - một cấu trúc độc hại được xây dựng phức tạp, đa nền tảng và đa plugin.

Tải trọng phần mềm độc hại bao gồm nhiều mô-đun, cho phép kẻ tấn công hoạt động như một APT (tấn công mạng có chủ đích), một công cụ khai thác tiền điện tử, thậm chí là một nhóm ransomware và những nhóm đối tượng này hoàn toàn có khả năng thay đổi mục đích tấn công từ việc thu lợi tài chính sang hoạt động gián điệp. Đáng chú ý, tiền điện tử Monero được khai thác bởi mô-đun này đã đạt giá trị cao nhất là 542,33 USD vào ngày 09/01/2018, cao hơn 10 USD so với giá trị của năm 2017. Tính đến năm 2023, loại tiền điện tử này vẫn duy trì giá trị khoảng 150 USD. Các chuyên gia Kaspersky cũng nhấn mạnh rằng mô-đun khai thác là yếu tố chính giúp phần mềm độc hại này tránh bị phát hiện trong thời gian dài.

Kẻ tấn công đằng sau hoạt động này sở hữu khả năng chuyên môn để bí mật theo dõi mục tiêu. Phần mềm độc hại thu thập thông tin xác thực hai giờ một lần, lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập trên trang web và Wi-Fi, cùng với các dữ liệu cá nhân như tên, địa chỉ, số điện thoại, công ty và chức danh công việc. Không những thế, phần mềm độc hại có thể chụp ảnh màn hình trên thiết bị của nạn nhân mà không bị phát hiện, hoàn toàn kiểm soát được thiết bị và thậm chí ghi âm nạn nhân thông qua đầu vào của micro.

Phương thức lây nhiễm ban đầu của phần mềm độc hại StripedFly vẫn chưa được xác định cho đến khi Kaspersky tiến hành một cuộc điều tra sâu hơn, tiết lộ việc sử dụng công cụ khai thác tuỳ chỉnh mang tên EternalBlue 'SMBv1' để xâm nhập vào hệ thống của nạn nhân. Mặc dù lỗ hổng EternalBlue đã được công khai vào năm 2017 và Microsoft đã phát hành bản vá sau đó (được chỉ định là MS17-010), nhưng mối đe dọa mà phần mềm độc hại này gây ra vẫn rất đáng kể do nhiều người dùng chưa cập nhật hệ thống của mình.

Trong quá trình phân tích kỹ thuật của chiến dịch, các chuyên gia của Kaspersky đã quan sát thấy những điểm tương đồng của StripedFly với phần mềm độc hại Equation. Chúng bao gồm các chỉ số kỹ thuật như chữ ký liên quan đến phần mềm độc hại Equation, cũng như phong cách mã hóa và cách thực hành tương tự như những gì được xác định trong phần mềm độc hại StraitBizzare (SBZ). Dựa trên số lượt tải xuống được hiển thị bởi kho lưu trữ phần mềm độc hại, số mục tiêu StripedFly ước tính đã đạt hơn một triệu nạn nhân trên toàn cầu.

Ông Sergey Lozhkin, Nhà nghiên cứu bảo mật chính tại Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) cho biết: “Những nỗ lực trong việc đầu tư tạo ra cấu trúc phần mềm độc hại này thực sự đáng chú ý và việc tiết lộ về phần mềm độc hại này cũng khá kinh ngạc. Khả năng thích ứng và phát triển của các tác nhân đe dọa là một thách thức không ngừng. Đó cũng chính là lý do tại sao điều quan trọng đối với chúng tôi, với tư cách là các nhà nghiên cứu, là phải tiếp tục nỗ lực phát hiện và phổ biến về các mối đe dọa mạng tinh vi, đồng thời đảm bảo rằng các khách hàng không quên việc bảo vệ toàn diện”.

Tìm hiểu thêm thông tin về StripedFly tại Securelist.com.

Để hạn chế trở thành nạn nhân của một cuộc tấn công có chủ đích bởi một tác nhân đe dọa đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky khuyên người dùng nên thực hiện các biện pháp sau:

  • Thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống vi-rút để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật.
  • Hãy thận trọng với các email, tin nhắn hoặc cuộc gọi yêu cầu cung cấp thông tin nhạy cảm. Xác minh danh tính người yêu cầu thông tin trước khi chia sẻ dữ liệu cá nhân nào hoặc nhấp vào các liên kết đáng ngờ.
  • Cấp quyền truy cập về những thông tin tình báo các mối đe dọa mới nhất cho Trung tâm điều hành an ninh (SOC). Kaspersky Threat Intelligence Portal là một điểm truy cập duy nhất của Kaspersky cung cấp thông tin tình báo các mối đe dọa, dữ liệu tấn công mạng và hiểu biết sâu sắc được đội ngũ chúng tôi thu thập trong hơn 20 năm.
  • Nâng cao chất lượng đội ngũ an ninh mạng để giải quyết các mối đe dọa mới nhất với Khoá đào tạo trực tuyến Kaspersky được phát triển bởi các chuyên gia GReAT
  • Để phát hiện, điều tra và khắc phục sự cố kịp thời ở cấp điểm cuối, hãy triển khai các giải pháp EDR như Kaspersky Endpoint Detection and Response.

---

Về Kaspersky

Kaspersky là một công ty bảo vệ an ninh mạng và quyền riêng tư số toàn cầu, được thành lập vào năm 1997. Hiểu biết về các mối đe dọa và chuyên môn sâu về an ninh bảo mật của Kaspersky liên tục được chuyển đổi thành các giải pháp và dịch vụ an ninh bảo mật mang tính đổi mới sáng tạo để bảo vệ các doanh nghiệp, cơ sở hạ tầng thiết yếu, các chính phủ và người tiêu dùng trên toàn cầu. Danh mục giải pháp an ninh bảo mật toàn diện của Kaspersky bao gồm giải pháp bảo vệ điểm cuối hàng đầu và các giải pháp và dịch vụ bảo mật chuyên dụng để chống lại các mối đe dọa kỹ thuật số tinh vi và thường xuyên biến đổi. Công nghệ của Kaspersky đã và đang bảo vệ cho hơn 400 triệu khách hàng cá nhân và 240.000 khách hàng doanh nghiệp trên toàn thế giới. Vui lòng tìm hiểu thêm thông tin tại www.kaspersky.com.

Tin liên quan:

Standard Post with Image

Thông báo nghỉ lễ Quốc Khánh 2024

NTS Group xin thông báo đến Quý khách hàng thời gian nghỉ lễ Quốc Khánh năm 2023 từ thứ Bảy 31/08/2024 đến Thứ Ba 03/09/2024. Chúng tôi làm việc trở...

Chi tiết
Standard Post with Image

Phần mềm độc hại Android mới NGate đánh cắp dữ liệu NFC để sao chép thẻ thanh toán không tiếp xúc

Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ liệu thanh toán không tiếp xúc của nạn nhân từ thẻ...

Chi tiết
Standard Post with Image

Google cảnh báo về lỗ hổng bảo mật CVE-2024-7965 của Chrome đang bị khai thác tích cực

Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tung ra vào tuần trước cho trình duyệt Chrome của...

Chi tiết