Phát hiện mã độc đánh cắp dữ liệu ShadowPad

By | August 17, 2017

Hãng bảo mật Kasperksy Lab chiều ngày 16/8 phát đi thông báo cho biết vừa phát hiện một loại mã độc mới với tên gọi ShadowPad.

Theo lời đại diện Kaspersky, sau khi nghiên cứu tình trạng vận hành “bất ổn” trên hệ thống xử lý các giao dịch tài chính của một đối tác thì hãng này đã nhận diện ra mã độc backdoor chuyên đánh cắp dữ liệu hay cài cấy các mô-đun nguy hại khác.

Cụ thể hơn, mã độc ShadowPad được xác định đã có những yêu cầu truy xuất thông qua phần mềm quản lý máy chủ được cung cấp bởi hãng NetSarang.

Tuy nhiên, điều đáng nói ở đây là ShadowPad hiện được sử dụng hàng trăm doanh nghiệp lớn trên toàn thế giới, chủ yếu trong các lĩnh vực tài chính, giáo dục, viễn thông, sản xuất, năng lượng và vận tải.

Được biết, NetSarang là một phần mềm hợp pháp.

Đại diện Kaspersky cũng khẳng định, một khi đã tấn công thành công nạn nhân (tức máy chủ), thì mã độc ShadowPad sẽ định kỳ gửi truy vấn (tên người dùng, tên miền, tên máy chủ lưu trữ) đến các tên miền cụ thể (tức máy chủ điều khiển C&C) sau mỗi 8 tiếng đồng hồ. Nếu nhận định nạn nhân là “thú vị” thì máy chủ điều khiển của ShadowPad sẽ gửi thông tin trả lời, đồng thời kích hoạt backdoor đang đồn tú. Từ thời điểm này trở đi, theo “lệnh” của tin tặc, backdoor sẽ có thể tải về mã độc và thực thi mã độc.

Theo cập nhật mới nhất, mô-đun độc hại liên quan đến ShadowPad đã được kích hoạt ở Hồng Kông, và Kaspersky dự báo rất có thể backdoor này đã hiện diện tại nhiều nơi trên thế giới nhưng chưa chính thức “khai hỏa” đế tấn công người dùng.

Trang SecureList cho biết, tên miền máy chủ C&C liên quan đến ShadowPad được hacker đăng ký hồi đầu tháng 6/2017, và đến giữa tháng 7 thì chính thức thực hiện các hành vi tấn công.

Phía NetSarang đã nhận được thông tin cảnh báo từ Kaspersky, và hãng cũng đã phát hành bản cập nhật cần thiết cho khách hàng.

https://maytinhsaidong.wordpress.com/

https://vuamaytinhhn.wordpress.com/

This Land for technology in Việt Nam

Tác giả: khoanv.12mf