Trong lúc thế giới Internet điêu đứng
với các công cụ tấn công vào các lỗ hổng bảo mật như WhiteHole Exploit
Kit, BlackHole Exploit Kit ,... thì các nhà nghiên cứu bảo mật lại phát
hiện thêm một công cụ mới chuyên khai thác vào các lỗ hổng của Java.
Đó là Neutrino - một bộ
công cụ khai thác vào 2 lỗ hổng bảo mật của Java là CVE-2013-0431 và
CVE-2012-1723 - vừa được phát hiện và cảnh báo bởi các chuyên gia bảo
mật của TrendMicro hôm 12.3.
Đây là 2 lỗ hổng tồn tại trên các hệ thống sử dụng Java 7 update 11 trở về trước. CVE-2013-0431 cũng đã bị lợi dụng bởi bộ công cụ khai thác Blackhole trước đây. Trong khi đó, lỗ hổng CVE-2012-1723 cũng được sử dụng trong các vụ tấn công bởi các bộ khai thác Blackhole và WhiteHole.
Theo TrendMicro, nếu khai thác thành công, Neutrino sẽ tải về máy tính nạn nhân một biến thể ransomware (loại phần mềm độc hại chuyên “bắt cóc” máy tính đòi tiền chuộc). Một trong số đó đã được TrendMicro nhận dạng với tên gọi TROJ_RANSOM.NTW.
Điều nguy hiểm là Neutrino đã được chủ nhân của nó rao bán hoặc cho thuê trên các diễn đàn ngầm với nhiều tính năng nổi bật như: Bảng điều khiển với giao diện người dùng thân thiện; Dễ dàng quản lý tên miền và IP (một biện pháp đối phó với phần mềm diệt virus); Liên tục giám sát trạng thái của phần mềm diệt virus; Lọc để bắt thông tin trên đường truyền; Dò các plugin của trình duyệt web để ăn cắp thông tin trên hệ thống mục tiêu; Mã hóa các thông tin bị đánh cắp được gửi lại cho máy chủ;...
Trên các diễn đàn ngầm, bộ công cụ này được rao cho thuê với giá chỉ 40USD/ngày hoặc 450USD/tháng. Theo phân tích của nhà nghiên cứu cao cấp về các mối đe dọa Max Goncharov, thủ phạm có thể đã tạo ra bộ công cụ này cho riêng mình và cũng đã kiếm được một khoản từ năm 2012 trước quyết định tung nó ra bán trên thị trường “đen”.
Các chuyên gia của TrendMicro nhận định, mặc dù phương pháp của Neutrino cũng tương tự như những bộ công cụ khác, tuy nhiên, việc đầu tư trang bị các tính năng nổi bật cũng như cách thức phát tán cho thấy những kẻ tấn công thực sự đã trở nên phức tạp và có tổ chức hơn.
Đây là 2 lỗ hổng tồn tại trên các hệ thống sử dụng Java 7 update 11 trở về trước. CVE-2013-0431 cũng đã bị lợi dụng bởi bộ công cụ khai thác Blackhole trước đây. Trong khi đó, lỗ hổng CVE-2012-1723 cũng được sử dụng trong các vụ tấn công bởi các bộ khai thác Blackhole và WhiteHole.
Theo TrendMicro, nếu khai thác thành công, Neutrino sẽ tải về máy tính nạn nhân một biến thể ransomware (loại phần mềm độc hại chuyên “bắt cóc” máy tính đòi tiền chuộc). Một trong số đó đã được TrendMicro nhận dạng với tên gọi TROJ_RANSOM.NTW.
Điều nguy hiểm là Neutrino đã được chủ nhân của nó rao bán hoặc cho thuê trên các diễn đàn ngầm với nhiều tính năng nổi bật như: Bảng điều khiển với giao diện người dùng thân thiện; Dễ dàng quản lý tên miền và IP (một biện pháp đối phó với phần mềm diệt virus); Liên tục giám sát trạng thái của phần mềm diệt virus; Lọc để bắt thông tin trên đường truyền; Dò các plugin của trình duyệt web để ăn cắp thông tin trên hệ thống mục tiêu; Mã hóa các thông tin bị đánh cắp được gửi lại cho máy chủ;...
Trên các diễn đàn ngầm, bộ công cụ này được rao cho thuê với giá chỉ 40USD/ngày hoặc 450USD/tháng. Theo phân tích của nhà nghiên cứu cao cấp về các mối đe dọa Max Goncharov, thủ phạm có thể đã tạo ra bộ công cụ này cho riêng mình và cũng đã kiếm được một khoản từ năm 2012 trước quyết định tung nó ra bán trên thị trường “đen”.
Các chuyên gia của TrendMicro nhận định, mặc dù phương pháp của Neutrino cũng tương tự như những bộ công cụ khác, tuy nhiên, việc đầu tư trang bị các tính năng nổi bật cũng như cách thức phát tán cho thấy những kẻ tấn công thực sự đã trở nên phức tạp và có tổ chức hơn.
Nguồn: TrendLabs Security Intelligence
Không có nhận xét nào:
Đăng nhận xét