Mã độc ngân hàng bổ sung tính năng tự động phát tán giống WannaCry

Mặc dù làn sóng mã độc tống tiền WannaCry và Petya đã dần chậm lại, tin tặc vẫn đang ngày càng biến đổi mã độc để chúng trở nên mạnh mẽ hơn.

Mới đây các nhà nghiên cứu đã tìm ra ít nhất một nhóm tin tặc bổ sung tính năng tự động phát tán vào mã độc ngân hàng giống như WannaCry đã từng làm. Phiên bản mới của mã độc ngân hàng TrickBot sử dụng lỗ hổng Windows Server Message Block (SMB) – đây là lỗ hống giúp WannaCry và Petya phát tán nhanh chóng trên toàn cầu.

TrickBot là mã độc ngân hàng tấn công các tổ chức tài chính trên khắp thế giới trong vòng một năm qua. Mã độc phát tán thông qua tệp tin đính kèm giả mạo hóa đơn tài chính đến từ một tổ chức quốc tế, thực chất đánh lừa nạn nhân đăng nhập để lấy cắp thông tin.

TrickBot có khả năng rà quét các tên miền dành cho các máy chủ chứa lỗ hổng SMB thông qua  NetServerEnum Windows API và liệt kê các máy tính trong mạng thông qua Lightweight Directory Access Protocol (LDAP). Mã độc giả dạng thành tệp tin ‘setup.exe’ và phát tán bằng PowerShell script để tạo kết nối tới máy chủ độc hại.

Để bảo vệ trước những lây nhiễm độc hại, người dùng cần luôn đặt thái độ nghi ngờ với các tệp tin và tài liệu được gửi thông qua email. Không bao giờ nhân vào đường dẫn nếu chưa kiểm tra kĩ nguồn. Luôn giữ tài liệu có giá trị ở nơi an toàn, tạo bản sao lưu thường xuyên và lưu trữ ở ổ đĩa rời, ít kết nối với máy tính.

Mã độc đang ngày càng phát triển tinh vi hơn bao giờ hết. Đảm bảo máy tính của bạn có cài đặt phần mềm diệt virus và cập nhật thường xuyên.

THN

 

Bình luận

Từ khóa: