Các nhà nghiên cứu đã phát hiện ra lỗ hổng Adobe Flash Zero-Day mà tin tặc đang tích cực khai thác nhắm mục tiêu vào tổ chức y tế của Nga.
Lỗ hổng Adobe Flash Zero-Day mới này có tên là CVE-2018-15982, một lỗ hổng truy cập bộ nhớ sau khi giải phóng (use after free) nằm trong Flash Player, nếu khai thác thành công thì kẻ tấn công có thể thực thi mã từ xa trên máy tính và giành quyền kiểm soát toàn bộ hệ thống.
Lỗ hổng Adobe Flash Zero-Day mới được phát hiện trong các tài liệu Microsoft Office độc hại vào tuần trước.
Các tài liệu Microsoft Office độc hại chứa bộ điều khiển Flash Active X được nhúng trong tiêu đề để khi người dùng mở file sẽ gây ra khai thác lỗ hổng Flash Player.
Theo các nhà nghiên cứu, cả tệp Microsoft Office (22.docx) cũng như Flash Player (bên trong tệp) đều không chứa file tấn công.
Thay vào đó, file tấn công ẩn trong một tệp hình ảnh lưu trữ (scan042.jpg) được lưu cùng tệp Microsoft Office bên trong kho lưu trữ WinRAR gốc, sau đó được phân phối qua các email lừa đảo, như trong video dưới đây:
Khi mở tài liệu, lỗ hổng Adobe Flash Zero-Day thực thi một lệnh trên hệ thống để gỡ lưu trữ tệp hình ảnh và chạy file tấn công (backup.exe) đã được bảo vệ bằng VMProtect và được lập trình để cài đặt một backdoor có khả năng:
- Giám sát hoạt động của người dùng (bàn phím hoặc di chuyển chuột)
- Thu thập thông tin hệ thống và gửi đến một máy chủ chỉ huy và kiểm soát từ xa (C & C)
- Thực thi shellcode
- Tải PE trong bộ nhớ
- Tải tập tin
- Thực thi mã
- Thực hiện quá trình tự hủy
THN
