BIẾN THỂ AZORULT MỚI ĐANG ĐƯỢC SỬ DỤNG ĐỂ LÂY LAN MÃ ĐỘC AURORA RANSOMWARE

aurora rasomware
   Một tác nhân độc hại được gọi là Oktropys đang tiến hành lây lan Ransomware Aurora và đòi một số tiền chuộc 150$ , mã độc AZORult được các chuyên gia tìm thấy khi lây lan qua việc download các phần mềm từ Internet .

Image result for azorult BIẾN THỂ AZORULT MỚI ĐANG ĐƯỢC  SỬ DỤNG ĐỂ LÂY LAN MÃ ĐỘC AURORA RANSOMWARE

Biến thể của mã độc đánh cắp dữ liệu AZORult được phát hiện trong một đợt lừa đảo gần đây , mục tiêu là các máy tính trên toàn cầu . Đoạn mã độc hại đang được Oktropys dùng để lây lan ransomware Aurora .

Hành vi này thực hiện qua việc ẩn các mã độc AZORult mới vào những file được chia sẽ để người dùng tải xuống .

Theo chuyên gia an ninh mạng Salesforce Vishal Thakur , người đã theo dõi chiến dịch tấn công bằng AZORult gần đây , phiên bản mới này chứa hai payload (payload có thể xem là một phương pháp đính kèm các mã độc khác vào một file cha).Trong khi payload đầu tiên là đoạn mã nhằm đánh cắp dữ liệu gồm thông tin đăng nhập đã lưu, tài khoản cục bộ và trình duyệt ,thì payload thứ 2 chính là ransomware Aurora.

Image result for aurora ransomware BIẾN THỂ AZORULT MỚI ĐANG ĐƯỢC  SỬ DỤNG ĐỂ LÂY LAN MÃ ĐỘC AURORA RANSOMWARE

  PAYLOADS KÉP CỦA AZORult

Trong chiến dịch này , AZORult đánh cắp dữ liệu hệ thống bao gồm dữ liệu đăng nhập trình duyệt và gửi nó về cho máy chủ CnC. Mặc dụ mã độc có ít những hàm mã hóa , code của nó dường như không đầy đủ vì một số chức năng không được thực thi.

“Không có mã băm được tạo ra hay nhân bản , các hàm mã hóa thực tế không được gọi ra , khóa dĩ nhiên cũng không bị tiêu hủy .” Thakur viết . “ Những hàm mã hóa có thể vẫn được thực thi khi chúng được them vào code nhưng không thể tái sử dụng . Sẽ rất thú vị nếu kẻ tấn công đang cố gắng mã hóa AES đầy đủ cho các cuộc tấn công trong tương lai như chúng ta đã thấy trong trường hợp của Emotet .”

Trong khi đó , payload thứ 2 của AZORult – ransomware Aurora – xâm nhập vào máy tính . Một khi nó đã mã hóa dữ liệu nạn nhân , kẻ tấn công sẽ đòi tiền chuộc 150$ bằng bitcoins .

Xem thêm : Tìm hiểu về mã độc gián điệp FlawedAmmyy

 AZORult đang được tái sử dụng

AZORult đã hoạt động được một thời gian và cho phép các hacker đánh cắp thông tin cá nhân của nạn nhân . Các mật khẩu bị đánh cắp bởi AZORult đã được sử dụng rộng rãi để truy cập trái phép emalil và tài khoản ngân hang .

Biến thể AZORult mới được Oktropys sử dụng là một ví dụ về cách các tội phạm mạng thường sử dụng lại các mã độc để them nhiều chức năng cải thiện và thực hiện các cuộc tấn công lớn hơn ,phức tạp hơn .

Từ khóa tìm kiếm :

  • Mã độc Azorult
  • Biến thể Azorult
  • Ransomware

BÌNH LUẬN

Please enter your comment!
Please enter your name here