Breaking News
Home / bản tin công nghệ / Sự trở lại của Malware Macro

Sự trở lại của Malware Macro

Malware Macro, một trong những mối đe dọa nguy hiểm nhất trong năm 1990,

Lây nhiễm các máy thông qua Microsoft Word, cái dang tài liệu này được lây lan qua các chiến dịch spam mail, các trang web độc hại, tải driver, malware và có một sự gia tăng lớn trong vài quý vừa qua.
Trở lại những năm 1990, các mối đe dọa nguy hiểm nhất trong thể loại này là Melissa và WM.Concept, nhắm mục tiêu vào các ứng dụng rất phổ biến Microsoft Word, mặc dù thực tế rằng các ứng dụng khác cũng sử dụng các macro. Vào thời điểm đó, Microsoft Office mặc định thực hiện macro ngay từ đầu, nhưng sau đó đã vô hiệu hóa chúng và macro không thể chạy mà không có sự cho phép của người dùng. Tuy nhiên, nhiều tổ chức vẫn còn sử dụng các macro, đây là nguy cơ dễ bị phát tán mã độc.

malware feature
Với sự trở lại của Malware Macro, tội phạm mạng đã thay đổi cơ chế phân phối để đảm bảo khó phát hiện hơn. Trong khi các đợt tấn cống trước đó kéo dài trong nhiều ngày hoặc nhiều tuần, thì các đợt tấn công hiện nay ngắn hơn, và cũng thay đổi chủ đề của email và file đính kèm một cách cẩn thận để đảm bảo không bị phát hiện và ngăn chặn.
Hơn nữa, các tập tin bị nhiễm phân phối như file đính kèm bình thường ngay cả sau khi thực hiện các hoạt động nguy hiểm, làm phát hiện khó khăn hơn. Các hoạt động nguy hiểm đằng sau malware macro sử dụng điểm truy xuất này để triển khai những ứng dụng độc hại hơn cho hệ thống của nạn nhân, mà thường dẫn đến nhiều thiệt hại.
Thủ phạm sử dụng các kỹ thuật thông dụng khác nhau để thu hút người dùng mở các email và tải các tập tin đính kèm nguy hiểm, bằng cách tạo ra dòng tiêu đề như yêu cầu thanh toán, thông báo quan trọng, thông báo chuyển phát nhanh, hồ sơ, hóa đơn bán hàng,…. Ngay sau khi bị nghi ngờ sử dụng tải xuống tập tin đính kèm, Microsoft Word hỏi có kích hoạt macro, và các phần mềm độc hại thực hiện ngay sau khi người sử dụng cho phép macro kích hoạt.
Sau khi thực hiện macro, malware tải xuống các tập tin PowerShell trên máy tính bị nhiễm, tùy thuộc vào dòng malware: Bartallex, Dridex, Donoff, hay trình download khác. Những pha62n tải thêm phần mềm độc hại, bao gồm cả Upatre, Vawtrak, Chanitor, hay Zbot, và ransomware.

Malware
Cũng có những trường hợp các malware có thể được thực hiện ngay cả khi người dùng không cho phép macro, chẳng hạn như trường hợp của Dridex, được biết đến dưới hình thức tài liệu XML (.xml hoặc .doc) có chứa một mã hóa Base64 Office nhúng vào đối tượng được thực hiện khi tài liệu được mở. Một biến thể thứ hai đi kèm như tập tin Word hoặc Excel có chứa một đối tượng thực thi mã độc vào các tập tin OLE.
Tội phạm mạng nhúng malware vào các tập tin, và người dùng không nghi ngờ nên có thể mở đối tượng độc hại bằng cách bỏ qua các cảnh báo và nhấp đúp vào nó. Cũng như trong các trường hợp khác, mã downloader chạy bằng cách thực hiện một PowerShell. Các Dridex loader sẽ được tải về và thực thi, tiếp theo là Dridex DLL, được tiêm vào explorer.exe, và các phần mềm độc hại tự cài đặt vào hệ thống bị xâm nhập.
Theo báo cáo, tội phạm mạng cũng đang sử dụng một loạt các kỹ thuật mã obfuscation để tránh bị phát hiện và che giấu mục đích của tập tin. Mã rác là một trong những kỹ thuật này, liên quan đến sự chèn lặp đi lặp lại của dòng mã như các chức năng khác nhau, từ chuyển đổi ký tự như Chr () và ChrW () để mã hóa phức tạp.
Nghiên cứu của Intel cũng lưu ý rằng các macro nguy hiểm ngày nay đã phát triển đáng kể, hiệu quả hơn và linh hoạt với việc sử dụng các tính năng như PowerShell. Họ cũng lưu ý rằng các macro rất thật thu hút cho hacker malware bởi vì sự đơn giản, dễ dàng mã hóa, và tạo khả năng khác để tấn công các nạn nhân và tiếp tục lan truyền phần mềm độc hại.
Để luôn được bảo vệ, người dùng không nên kích hoạt macro khi mở một tài liệu, và họ cũng nên tránh mở các email và file đính kèm mà đến từ các nguồn không tin cậy. Doanh nghiệp cần hướng dẫn người dùng về vấn đề này, nên cẩn thận xem xét mức độ an toàn cần thiết của mỗi ứng dụng, và cũng nên cấu hình các dịch vụ email và quét virus để lọc lưu lượng email cho file đính kèm có chứa macro.

tags: malware, macro malware,thiet bi mang switch cisco, virus

About cang kim

Leave a Reply

Your email address will not be published. Required fields are marked *

*


nine + = 17

Copy Protected by Chetan's WP-Copyprotect.