Nội dung
Các nhà nghiên cứu đã phát hiện ra một chiến dịch malware mới đang tích cực diễn ra trong tự nhiên. Được xác định là Clipsa, về cơ bản là một malware khai thác và đánh cắp tiền điện tử (cryptostealer and cryptominer) nhắm vào các trang web WordPress không bảo mật.
Hơn nữa, malware này cũng thay thế các địa chỉ tiền điện tử từ clipboard – do đó mới có tên là ‘Clipsa’. Malware tiếp tục lây lan bằng cách quét thêm trên internet để tìm ra các trang web chứa lỗ hổng thông qua các máy tính bị nhiễm.
Malware Clipsa nhắm mục tiêu vào các trang WordPress
Các nhà nghiên cứu từ Avast đã phát hiện ra một chiến dịch malwarekhổng lồ nhắm vào hàng ngàn PC trên toàn thế giới. Malware Clipsa liên quan đếnchiến dịch này chủ yếu nhắm vào tiền điện tử.
Nói về các hoạt động độc hại được thực hiện bởi malware này,các nhà nghiên cứu cho biết Clipsa là một kẻ đánh cắp mật khẩu đa năng, được viếtbằng Visual Basic, tập trung vào việc đánh cắp tiền điện tử, tấn công brute-forcevà đánh cắp thông tin quản trị viên từ các trang web WordPress không bảo mật,thay thế địa chỉ tiền điện tử có trong clipboard và khai thác tiền điện tử trêncác máy bị nhiễm. Một số phiên bản của Clipsa cũng triển khai tính năng đào tiềnxu (coinminer) XMRig để kiếm thêm tiền từ các máy tính bị nhiễm.
Malware tiếp cận thiết bị nạn nhân bằng cách che giấu bản thân dưới dạng trình cài đặt codec pack độc hại cho media player. Nạn nhân thường vô tình tải về phần mềm độc hại cùng với player.
Bên cạnh đó, Clipsa cũng có thể nhắm mục tiêu vào các trangweb WordPress chứa lỗ hổng từ một PC bị lây nhiễm.
Phân tích cuộc tấn công
Sau khi tải xuống, tệp malware đa tham số sẽ cài đặt và thựchiện các hoạt động trong những giai đoạn khác nhau. Trong trường hợp pha khởi đầukhông có các tham số cụ thể, các pha sau có tham số cụ thể sẽ gợi ý cho từng chứcnăng.
Quá trình này bao gồm:
1. Khởi đầu – Khôngcó tham số. Trong giai đoạn này, phần mềm độc hại sẽ cài đặt và ẩn trên hệ thống,đồng thời thực hiện các giai đoạn tiếp theo.
2. CLIPS
3. CLIPPS
4. WALLS
Các giai đoạn trên (2-4) nhằm mục tiêu đánh cắp dữ liệu liênquan đến ví tiền điện tử của người dùng. Các hoạt động được thực hiện trong cácgiai đoạn này bao gồm thay thế địa chỉ ví trên clipboard bằng đia chỉ của nhữngkẻ tấn công từ danh sách được xác định trước. Do đó, khi nạn nhân dán địa chỉví của mình ở bất cứ đâu thì cũng đồng nghĩa với việc vô tình dán địa chỉ kẻ tấncông ở đó.
5. PARSE
6. BRUTE
Hai giai đoạn trên liên quan đến việc thu thập dữ liệu chocác trang web WordPress chứa lỗ hổng trên internet và tấn công brute-force đểđánh cắp thông tin của quản trị viên.
Logging
Những kẻ tấn công đứng đằng sau malware Clipsa dường nhưcũng muốn phân tích các hoạt động của phần mềm độc hại, vì nó cũng liên quan đếnviệc ghi chép nhật ký dữ liệu.
Các nhà nghiên cứu cho biết Clipsa tạo và sử dụng một tệp bổsung: C: \ Users \ user \ AppData \ Roaming \ AudioDG \ log.dat Tệp này được sửdụng cho mục đích ghi chép nhật ký dữ liệu mà tác giả của malware có thể sử dụngđể gỡ lỗi Clipsa và lấy số liệu thống kê.
Các nhà nghiên cứu đã trình bày một phân tích kỹ thuật chitiết về phần mềm độc hại trong bài đăng trên blog của họ.
Chiến dịch malware đang hoạt động tích cực trong tự nhiên
Clipsa thu hút sự chú ý của các nhà nghiên cứu do các chiếndịch tấn công tích cực trên khắp thế giới. Cụ thể, phần mềm độc hại đang nở rộ ởẤn Độ, sau đó đến Philippines và Brazil.
Trong khoảng thời gian một năm, các nhà nghiên cứu đã pháthiện hàng ngàn thiết bị nạn nhân bị tấn công bởi phần mềm độc hại này.
Tổng cộng, Avast đã bảo vệ hơn 253.000 người dùng tránh khỏihơn 360.000 lần tấn công, kể từ ngày 1 tháng 8 năm 2018.
Để đảm bảo an toàn cho thiết bị, người dùng được khuyến nghị nên giữ cho hệ thống của mình được cập nhật thường xuyên với các chương trình chống phần mềm độc hại mạnh mẽ. Đầu năm nay, các nhà nghiên cứu cũng đã cảnh báo về một malware CookieMiner tương tự chủ yếu nhắm mục tiêu vào người dùng Mac.
LHN