Trend Micro phát hiện phần mềm độc hại nguy hiểm MyIoBot chống lại các chương trình bảo mật

Phần mềm độc hại này được phát hiện trong các hệ thống của một công ty thiết bị viễn thông và dữ liệu cấp 1 không được tiết lộ tên. Các nhà nghiên cứu Trend Micro đã quan sát hành vi của MyIoBot bao gồm quá trình ẩn nấp, phản xạ EXE, cài mã độc và đánh cắp dữ liệu. Vì nó có thể liên kết với máy tính bị nhiễm mã độc vào một hệ thống botnet, phần mềm độc hại có thể thông qua hệ thống gây ra các thiệt hại to lớn trên diện rộng.

MyIoBot sẽ kết nối thiết bị nạn nhân vào một botnet và chiếm quyền điều khiển thiết bị đó.

Các nhà nghiên cứu vẫn chưa xác định được nguồn gốc của phần mềm độc hại này cũng như tác giả của nó. Phần mềm độc hại MyIoBot được tích hợp các kỹ thuật cực kì hiện đại như quét bàn phím cho phép nó có thể sao chép những ký tự mà người dùng nhập bằng bàn phím trên thiết bị, bên cạnh đó còn có cái tính năng độc hại như:

  • Khả năng chống VM
  • Khả năng chống Sandbox
  • Khả năng chống gỡ lỗi
  • Phản xạ EXE, một kỹ thuật không phổ biến, giúp chạy các tệp EXE từ bộ nhớ thay vì trên ổ cứng.
  • Xâm nhập hệ thống
  • Cài mã độc
  • Ẩn nấp 14 ngày khỏi máy chủ C&C, tránh bị phát hiện bởi phần mềm Antinvirus, bảo mật điểm cuối, hộp cát.

Phần mềm độc hại cho phép kẻ tấn công có toàn quyền kiểm soát máy tính bị nhiễm, cho phép tin tặc có thể tải xuống thêm nhiền loại Trojans, Keyloggers, và DDoS độc hại.

Phần mềm độc hại mới này tích hợp đầy đủ các tính năng chống phần mềm bảo mật mới nhất từ tin tặc.

MyIoBot tắt Windows Defender và Windows Update khi cài đặt vào thiết bị người dùng cũng như tắt tường lửa để việc giao tiếp với máy chủ C&C không bị gián đoạn. Các nhà nghiên cứu cũng tìm hiểu mối liên hệ giữa MyIoBot với Dorkbot và Locky, vì rất có thể tin tặc tạo ra phần mềm độc hại này có thẻ đã móc nối với những kẻ tấn công trước đó hoặc mua lại giao thức từ chợ đen. Sự liên hệ này của các nhà nghiên cứu đã đưa họ đến trang dark web chứa thông tin của những cuộc tấn công diễn ra trước đó.

Cuộc chiến giữa các tin tặc đang diễn ra mạnh mẽ, ngày càng nhiều phần mềm độc hại nguy hiểm hơn được phát hiện.

Một trong tính năng được tích hợp trong MyIoBot có thể khiến ứng dụng bị ngừng hoạt động và xóa phần mềm Antivirus trong hệ thống, quét các thư mục quan trong, khởi chạy các tệp trong thư mục %APPDATA%. Các nhà nghiên cứu coi hành động này là sự kết nối giữa tin tặc nhằm tạo ra chiến dịch với mức độ đe dọa cực cao và hiệu quả ảnh hưởng lớn.

Điều này không còn nằm trong phạm vi chống lại các công ty an ninh mạng mà còn là sự cạnh tranh với tội phạm mạng khác, những mối đe dọa như MyIoBot sẽ đòi hỏi nhà nghiên cứu nâng cấp công nghệ tiên tiến hơn nữa, chủ động chống lại hành động tống tiền trực tuyến. Dưới đây là một số đề xuất để bảo vệ hệ thống của doanh nghiệp bạn:

  • Đảm bảo bảo mật nhiều lớn và bảo vệ hệ thống của bạn để ngăn chặn, phát hiện, loại bỏ các mối đe dọa từ cổng vào đến điểm cuối.
  • Thường xuyên sao lưu dữ liệu, thực hiện Hệ thống 3 – 2 – 1 để giảm thiểu việc mất dữ liệu.
  • Sử dụng phân loại dữ liệu và phân đoạn mạng, thực hiện các biện pháp bảo mật cần thiết mà Trend Micro khuyên dùng.


Tin liên quan