Mã độc NemucodAES và Kovter được phát tán trong cùng chiến dịch

20/07/2017 16:02

Trung tâm Internet Storm Center thuộc Học viện SANS Institute (Mỹ) cảnh báo phát hiện chiến dịch phát tán thư rác phân phối 2 loại mã độc khác nhau gồm mã độc tống tiền NemucodAES và mã độc gian lận nhấp chuột Kovter, đính kèm trong cùng tài liệu nén .zip và nhắm vào người dùng Windows.

Duncan, chuyên gia tại Trung tâm Internet Storm Center của SANS, cho biết trong hai tuần vừa qua, ông đã nhận thấy lượng thư rác độc hại gia tăng đáng kể, trong đó phân phối các tập tin nén .zip chứa các tập tin JavaScript được thiết kế để tải xuống và cài NemucodAES và Kovter trên máy tính Windows của nạn nhân.

Mã độc NemucodAES và Kovter được phát tán trong cùng chiến dịch
Mã độc NemucodAES và Kovter được phát tán trong cùng chiến dịch

NemucodAES là một phiên bản của Nemucod Trojan (mã độc dạng downloader), được biết đến nhiều nhất trong chiến dịch 2016 phân phối ransomware Locky và TeslaCrypt.
Biến thể đó bây giờ được gọi là NemucodAES, hiện đã có chìa khóa giải mã miễn phí để vô hiệu hóa hoàn toàn.

Còn về mã độc gian lận nhấp chuột Kovter, theo hãng bảo mật Microsoft, đây là mã độc rất khó bị phát hiện và loại bỏ vì thiết kế tàng hình (fileless) sau khi lây nhiễm. Không chỉ có thể tạo các cú nhấp chuột gian lận, nó còn có thể đánh cắp thông tin cá nhân, tải mã độc bổ sung hoặc cấp cho tin tặc quyền truy cập vào máy tính nạn nhân.

Duncan cho biết, các chiến dịch thư rác lừa đảo này giả mạo các thông báo từ Dịch vụ Chuyển phát Nhanh UPS. Các cuộc tấn công đã được báo cáo từ tháng 06/2017 trước bởi hãng bảo mật My Online Security của Anh và vẫn liên tục hoạt động kể từ đó.

“Thư rác độc đính kèm tập tin Zip có chứa các tập tin JavaScript rất dễ dàng bị các tổ chức phát hiện … Tuy nhiên, một số cảnh báo này có thể lọt qua quá trình lọc và một số người có thể bị nhiễm mã độc. Với chìa khóa giải mã NemucodAES, mọi người có thể phục hồi tập tin của họ, nhưng tôi cho rằng công cụ ransomware này sẽ còn tiếp tục phát triển”, Duncan cảnh báo.

Chu Cát Linh (dịch từ Threatpost)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video