Phát hiện cuộc đổ bộ mới của Trojan độc hại Madi

12:24, 19/07/2012
|

(VnMedia) - Bộ phận phản ứng bảo mật Symantec (Symantec Security Response) đã phát hiện thấy các cuộc đổ bộ mới của Trojan độc hại Madi xâm nhập máy tính mục tiêu dựa vào kỹ thuật mạng xã hội.

Madi là loại Trojan được sử dụng trong các chiến dịch tấn công có chủ đích và đã bắt đầu hoành hành trên mạng kể từ tháng 12 năm 2011.

Ban đầu, Madi được phát hiện tấn công khá nhiều nước thuộc khu vực Trung Đông nhưng gần đây Symantec cũng phát hiện ra sự tồn tại của loại Trojan này ở các khu vực khác trên thế giới, từ Mỹ tới New Zealand.

Khác với những kiểu tấn công mạng khét tiếng như Flamer, Duqu và Stuxnet là sử dụng những kỹ thuật khác nhau để khai thác và xâm nhập vào các hệ thống, trong đó có cả khai thác tấn công kiểu zero-day, thì tấn công kiểu Madi lại chủ yếu dựa vào kỹ thuật mạng xã hội để xâm nhập vào các máy tính mục tiêu.

Dưới đây là 1 email ví dụ điển hình bị phát hiện trong một chiến dịch tấn công mạng sử dụng Trojan Madi, email này có chứa một tệp tin .PPT độc hại.

Ảnh minh họa

 Email tấn công có chủ đích chứa tệp tin PowerPoint độc hại.


Khi mở tệp tin .PPT này, người dùng có thể thấy video về một tên lửa tấn công và phá hủy một chiếc máy bay phản lực. Trong phần cuối của tệp tin .PPT, một cửa sổ thoại sẽ hiển thị ra trước mặt người dùng và yêu cầu được chạy 1 tệp tin.

Ảnh minh họa

 Phần cuối tệp tin .PPT yêu cầu người dùng chạy 1 file .scr.


Symantec phát hiện tệp tin thực thi độc hại này là dạng Trojan Madi sử dụng cơ chế cập nhật trực tiếp LiveUpdate mới nhất. Loại Trojan này có khả năng ăn cắp thông tin với khả năng keylogging (ghi lại những nội dung người dùng gõ trên bàn phím).

Bên cạnh đó, nó còn có khả năng tự cập nhật cho chính mình. Symantec đã quan sát thấy Trojan Madi giao tiếp với các máy chủ ra lệnh-điều khiển (command-and-control server) được đặt tại Iran và gần đây nhất là các máy chủ tại Azerbaijan.   
 
Ảnh minh họa

 Biểu đồ phân bố mức độ lây nhiễm của Madi trên toàn cầu.


Mục tiêu tấn công của các chiến dịch sử dụng Madi có vẻ khá rộng, cụ thể bao gồm các công ty dầu, các cơ sở nghiên cứu đặc biệt tại Mỹ (US-based think tanks), lãnh sự quán nước ngoài cũng như nhiều cơ quan chính phủ, một vài trong số này thuộc lĩnh vực năng lượng.
Ảnh minh họa

 Tỷ lệ lây nhiễm Madi kể từ tháng 12 năm 2011 tới tháng 7 năm 2012.


 
Trong nghiên cứu gần đây, Symantec chỉ ra rằng, những cuộc tấn công Madi hiện được thực hiện bởi một tin tặc bí ẩn nói tiếng Farsi (ngôn ngữ hiện đại của Iran) với mục tiêu tấn công trải rộng.  


Tuệ Minh - (Theo PCW)

Ý kiến bạn đọc