Theo một phát hiện mới cho biết một bản cập nhật Adobe Flash giả mạo đã lén lút cài đặt phần mềm độc hại khai thác tiền điện tử trên máy tính và mạng lưới, tạo ra tổn thất nghiêm trọng về thời gian, hiệu năng hệ thống và mức tiêu thụ điện của người dùng bị ảnh hưởng.
PSA: Tin tặc đang sử dụng bản cập nhật Flash giả mạo để ẩn phần mềm độc hại khai thác tiền điện tử
Trong khi các bản cập nhật Flash giả mạo có chứa phần mềm độc hại truyền thống đã bị dễ dàng phát hiện, thì một chiến dịch mới đã sử dụng các thủ thuật mới để tải xuống các trình khai thác tiền điện tử trên các hệ thống Windows một cách lén lút.
Viết trong một bài tiết lộ kế hoạch, Unit 42 mối đe dọa nhà phân tích tình báo Brad Duncan nói:
Đầu tháng 8 năm 2018, một số mẫu mạo danh bản cập nhật Flash đã thông báo cửa sổ bật lên được mượn từ trình cài đặt Adobe chính thức. Các bản cập nhật Flash giả này cài đặt các chương trình không mong muốn như trình khai thác tiền điện tử XMRig, đặc biệt một điều là phần mềm độc hại này cũng có thể cập nhật Flash Player của nạn nhân lên phiên bản mới nhất.
Điều khó khăn trong lần này là một nạn nhân tiềm năng có thể không nhận thấy bất cứ điều gì bất thường dù có một thợ mỏ tiền điện tử XMRig hoặc chương trình không mong muốn khác đang lặng lẽ chạy trong nền của máy tính Windows của nạn nhân. Phần mềm khai thác này có khả năng làm chậm bộ vi xử lý máy tính của nạn nhân, làm hỏng ổ đĩa cứng hoặc trích xuất dữ liệu bí mật và truyền dữ liệu đó sang các nền tảng kỹ thuật số khác mà không có sự đồng ý của nạn nhân.
Duncan giải thích rằng không rõ các nạn nhân tiềm năng đến các URL cung cấp các bản cập nhật Flash giả như thế nào; tuy nhiên, lưu lượng mạng trong quá trình lây nhiễm chủ yếu liên quan đến các cập nhật Flash gian lận. Thật thú vị, máy chủ Windows bị nhiễm tạo ra một yêu cầu HTTP POST cho [osdsoft [.] Com], một miền liên kết với các trình cập nhật hoặc trình cài đặt đẩy các trình khai thác tiền điện tử.
Ông cho biết trong khi nhóm nghiên cứu tìm kiếm các bản cập nhật Flash giả mạo cụ thể, họ đã quan sát một số tệp Windows có tên bắt đầu bằng Adobe Flash Player từ các máy chủ web không dựa trên nền tảng đám mây. Các bản tải xuống này thường có chuỗi “flashplayer_down.php? Clickid =” trong URL. Nhóm cũng đã tìm thấy 113 trường hợp về phần mềm độc hại đáp ứng các tiêu chí này kể từ tháng 3 năm 2018 trong AutoFocus. 77 trong số các mẫu phần mềm độc hại này được xác định bằng thẻ CoinMiner trong AutoFocus. 36 mẫu còn lại chia sẻ các thẻ khác với 77 tệp thực thi liên quan đến CoinMiner.
Duncan khuyến khích người dùng Windows thận trọng hơn về các bản cập nhật Adobe Flash mà họ cố gắng cài đặt, nói rằng trong khi các tính năng cập nhật và cập nhật Adobe làm cho trình cài đặt giả mạo có vẻ hợp pháp hơn, nạn nhân tiềm năng vẫn sẽ nhận được các dấu hiệu cảnh báo về việc chạy tải xuống tệp trên máy tính Windows của họ.
Theo lời ông:
Các tổ chức và người dùng được đào tạo có nguy cơ lây nhiễm thấp hơn nhiều từ các bản cập nhật giả mạo này.
CCN gần đây đã báo cáo rằng một báo cáo từ các phòng thí nghiệm của McAfee cho thấy rằng cryptojacking tăng 86% trong quý II năm 2018, và tăng 459% từ đầu năm 2018 cho đến nay so với toàn bộ năm 2017.
Theo Blogtienao
The post PSA: Tin tặc đang sử dụng bản cập nhật Flash giả mạo để ẩn phần mềm độc hại khai thác tiền điện tử appeared first on Tiền Điện Tử.
Cre: Tiendientu. com
0 comments: