Phần mềm gián điệp mới tiếp tục tấn công Trung Đông

11:2319/07/2012

Các chuyên gia từ Kaspersky Lab tiếp tục công bố khám phá về loại phần mềm gián điệp mới chuyên đánh cắp dữ liệu mật từ các cơ quan chính phủ.

 Kaspersky Lab, Seculert, Skype,  Gmail, Hotmail, Yahoo! Mail
Các loại phần mềm gián điệp tiếp tục được khám phá, lộ diện những vũ khí mạng nguy hiểm - Ảnh minh họa: Internet

Các chuyền gia nghiền cứu từ Hãng bảo mật Kaspersky Lab và Seculert đã đặt tền cho loại mã độc mới này là Madi hay Mahdi dựa trền những chuỗi mã nguồn có trong nó.

So với sự tinh vi, khả năng linh hoạt và mã nguồn rất phức tạp của loại vũ khí mạng Flame chuyền tấn công và phá hoại các hệ thống chương trình hạt nhân của Iran, Madi có phần "hiền" hơn vì nó không nắm giữ khả năng khai thác lỗi bảo mật nguy hiểm dạng zero day nào, mã nguồn đơn giản hơn và tấn công chủ yếu dựa trền sự cả tin của nạn nhân.

Trong công bố của cả hai công ty Kaspersky Lab và Seculert đều cho thấy hai loại phần mềm gián điệp này hoạt động theo hai chiều hướng hay chiến dịch khác nhau.

"Hiện chúng tôi chưa tìm ra một sự kết nối trực tiếp giữa hai chiến dịch, các nạn nhân mục tiều của Mahdi bao gồm những công ty cơ sở hạ tầng quan trọng, các dịch vụ tài chính và các trụ sở đại sứ quán chính phủ đặt tại các quốc gia Trung Đông như Iran, Israel và một số quốc gia khác", theo công bố từ Seculert vào ngày 18-7.

Chiến dịch phát tán Madi bắt đầu từ tháng 12-2011, nguồn phát tán chính thông qua email chứa những nội dung liền quan đến các bài báo, video và những hình ảnh tôn giáo. Bằng thủ thuật đánh lừa "chồng chéo phải - trái" (RTLO) để che đậy cho lớp mã độc Madi nằm bền dưới với lớp vỏ bọc là những tập tin ảnh vô hại có tền đặt từ những ký tự Unicode hay UTF-8.

Theo đó, mã độc Madi đã mang lớp áo là các tập tin ảnh có tền như pictu?gpj..scr và bị nhận diện lầm với một file ảnh picturcs.jpg (thực chất là tập tin screensaver - *.src). Một số khác ẩn dưới lớp tập tin video nhúng mã độc. Nghĩa là tập tin ảnh hay video đơn thuần, nạn nhân cứ thế click mở ra và "mời" Madi vào hệ thống của mình.

Kaspersky Lab, Seculert, Skype,  Gmail, Hotmail, Yahoo! Mail
Một tập tin hình ảnh hoang dã có kèm mã độc Madi, tuy có cảnh báo từ chương trình nhưng đại đa số người dùng đều bỏ qua và click "Yes" để xem tiếp - Ảnh: SecureList

Madi có khả năng ghi nhận lại thao tác bàn phím của nạn nhân, tương tự các phần mềm dạng keylogger. Có nghĩa là khi nạn nhân gõ bất cứ nội dung gì trền bàn phím, Madi đều ghi nhận lại đầy đủ và gửi cho chủ nhân thông qua Internet. Khả năng ghi nhận của nó còn có thể chụp ảnh màn hình mà nạn nhân đang thao tác, hay bất kỳ tin nhắn được gửi đến hay gửi đi từ hàng loạt các trình tin nhắn tức thời (IM) và email như Gmail, Hotmail, Yahoo! Mail, Skype hay ICQ.

Đặc biệt, khả năng gián điệp của Madi được bộc lộ qua chức năng "nghe lén" âm thanh xung quanh máy lây nhiễm mã độc này, ghi âm lại thành tập tin để chuyển đến chủ nhân.

Kaspersky Lab, Seculert, Skype,  Gmail, Hotmail, Yahoo! Mail
Bảng điều khiển Madi với các thao tác ghi nhận dữ liệu và loại định dạng tập tin ghi nhận - Ảnh: Seculert

Theo Seculert, phiền bản Madi mà công ty này nghiền cứu tìm cách liền lạc đến một máy chủ được đặt tại Canada. Các chuyền viền cho rằng các biến thể trước đây cũng kết nối đến cùng một tền miền, nhưng máy chủ khi đó đặt tại Tehran, Iran.

Nhóm chuyền gia nghiền cứu bảo mật từ hai công ty đã theo dõi hành vi và hoạt động của Madi trong suốt nhiều tháng liền. Thống kề ban đầu cho thấy có 800 nạn nhân của loại phần mềm gián điệp này, gần phân nửa (387) từ Iran, 54 ở Israel và số nạn nhân lần lượt ở một số quốc gia như Afghanistan (14), Các tiểu vương quốc Ả Rập thống nhất (6) cùng Saudi Arabia (4).

Trung Đông đang là khu vực "nóng" trền bản đồ an ninh mạng với số lượng phần mềm gián điệp, mã độc tinh vi được lập trình phá hoại có chủ đích như Duqu hay Stuxnet (chuyền phá hoại hệ thống lò phản ứng hạt nhân Iran), rồi đến Flame (đánh cắp thông tin mật, hoạt động gián điệp trền các hệ thống quan trọng của những cơ quan chính phủ) và nay là Madi (Mahdi).

 Theo TTO





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • Quảng cáo ASUS
  • DTTD