Gần đây, các phần mềm độc hại Macro liên quan đến DRIDEX, các biến thể crypto-ransomware, locky ransomware mới nhất sử dụng biểu mẫu nhằm xáo trộn mã độc hại đã được tìm thấy. Với cải tiến này, giới tội phạm mạng có thể dễ dàng ẩn bất kỳ hoạt động độc hại nào mà chúng muốn để thực hiện tấn công hệ thống.

Trend Micro cho biết, trước khi gửi đi các biểu mẫu (dưới dạng văn bản cho giao diện người dùng), hacker đã chèn mã độc và các phần mềm độc hại dẫn đến việc người dùng tự kích hoạt các phần mềm độc hại khi click vào phần tải dữ liệu. Tuy nhiên, chiến thuật này đòi hỏi các shellcode (mã khai thác lỗ hổng bảo mật) phải được lưu trữ trước khi người dùng truy cập. Điều này được coi là khó khăn hơn so với kỹ thuật điển hình.

Những gì có thể xảy ra khi dính mã độc?

Hãy tưởng tượng nhân viên của tổ chức X nhận được email spam với tập tin tài liệu đính kèm. Người dùng nhận thấy đây là file word và cho rằng không có gì đáng ngờ và mở file. Khi mở file tập tin độc hại sẽ bắt đầu chạy dẫn đến nhiễm trùng hệ thống và sau đó là trộm cắp dữ liệu hoặc phá banh các tập tin quan trọng.

Sự nguy hiểm của chiến thuật này gợi nhớ đến POWELIKS một thời. Mã độc này ẩn trong phần đăng nhập của Windows. Tại thời điểm nó xuất hiện, không ai ngờ rằng tính năng này có thể được lạm dụng để làm thành mã độc.

Hacker tận dụng tính năng này làm chiến thuật phổ biến nhưng tất cả đã thay đổi khi Microsoft quyết định vô hiệu hóa các macro theo mặc định như một biện pháp an ninh – các chuyên gia bảo mật Trend Micro nói. Trong một khoảng thời gian dài, phần mềm độc hại macro đã không còn ảnh hưởng gì cho đến năm 2014. Kể từ đó, nó đã trở thành kho vũ khí cho tội phạm mạng và các chiến dịch tấn công. Các mối đe dọa gần đây như DRIDEX và ROVNIX sử dụng macro dưới dạng vectơ nhiễm trùng. Còn BARTALEX chủ yếu ảnh hưởng đến các doanh nghiệp.

Điểm qua các phần mềm độc hại

Theo nghiên cứu của phần mềm diệt virus tốt nhất Trend Micro, Locky ransomware làm ảnh hưởng mạng và mã hóa các hồ sơ của Trung tâm Y tế Hollywood Presbyterian vào cuối tháng 2/2016 là trường hợp đầu tiên của ransomware độc hại xâm nhập vào hệ thống. Thông thường, ransomware được phân phối thông qua các trang web bị tổn hại hoặc email spam. Tuy nhiên, phiên bản này đã nhân rộng hành vi sử dụng các biểu mẫu thường thấy trong DRIDEX.

Dựa trên dữ liệu Smart Protection Network của Trend Micro, các quốc gia hàng đầu chịu ảnh hưởng của locky ransomware là Đức, Nhật Bản và Hoa Kỳ.

DRIDEX là phần mềm độc hại phổ biến trong dịch vụ ngân hàng trực tuyến. Sau khi tiến hành phân tích, Trend Micro phát hiện ra rằng DRIDEX kích hoạt chế động tự động tải tràn lan gây nguy hiểm hơn bao giờ hết.

Biện pháp đối phó

Các chuyên gia diệt virus Trend Micro chia sẻ, biện pháp hiệu quả và an toàn nhất là sử dụng phần mềm bảo mật của nhà cung cấp tin cậy như Trend Micro. Phần mềm bảo mật sẽ giám sát hành vi để phát hiện các tập tin độc hại liên quan đến các vụ tấn công nêu trên và cung cấp cho người dùng lớp bảo vệ để ngăn chặn việc tải xuống các tập tin độc hại trên hệ thống. đối với các doanh nghiệp, tổ chức, các giải pháp này sẽ ngăn chặn các tin nhắn email với file đính kèm từ các nguồn đáng ngờ. Tuy nhiên, người dùng cũng phải tự nhận thức về các mối đe dọa và cân nhắc hành vi của mình để chống lại rủi ro.