Các nhà nghiên cứu bảo mật từ SpiderLabs của Trustwave vừa phát hiện ra một chiến dịch độc hại mới. Trong đó tin tặc gửi email giả mạo thông báo cập nhật Windows 10 khẩn cấp từ Microsoft, lừa người dùng cài đặt để lây nhiễm mã độc tống tiền ransomware Cyborg trên hệ thống.

Đừng mở email yêu cầu cập nhật Windows 10 để tránh nhiễm ransomware

Cụ thể, nạn nhân sẽ nhận được email với tiêu đề “Cài đặt bản cập nhật Microsoft Windows mới nhất ngay bây giờ!” (Install Latest Microsoft Windows Update now!) hoặc “Cập nhật Micosoft Windows quan trọng!” (Critical Microsoft Windows Update!). Tuy nhiên, hãy lưu ý đừng mở những email này vì Microsoft chỉ đẩy trực tiếp bản cập nhật qua hệ điều hành, không bao giờ gửi qua email.

Thông thường những email dạng này chỉ có một dòng văn bản với nội dung: “Vui lòng cài đặt bản cập nhập quan trọng của Microsoft được đính kèm trong email này” (Please install the latest critical update from Microsoft attached to this email). Tập tin đính kèm có đuôi .jpg nhưng thực tế lại không phải hình ảnh mà là tập tin thực thi. Đây là một bản tải xuống .NET độc hại mà tin tặc thiết kế để phát tán mã độc vào hệ thống.

Ransomware Cyborg

Khi nhấp vào tập tin đính kèm trong email, tập tin thực thi ẩn sẽ tự động tải xuống một tập tin khác có tên ‘bitcoingenerator.exe’ từ tài khoản GitHub với tên misterbtc2020. Cũng giống như với tập tin đính kèm, đây là mã độc được biên dịch bằng .NET có tên ransomware Cyborg.

Sau khi kích hoạt, Cyborg sẽ mã hóa toàn bộ dữ liệu trên hệ thống bị nhiễm và nối thêm tên tập tin bằng phần mở rộng riêng. Sau đó, những kẻ tấn công sẽ để lại trên màn hình máy bị nhiễm một ghi chú tiền chuộc kèm tên Cyborg_DECRYPT.txt. Cuối cùng, ramsomware sẽ tạo một bản sao có tên bot.exe ẩn trong trong thư mục gốc của ổ đĩa bị nhiễm.

Vì muốn hiểu rõ hơn về các biến thể của ransomware Cyborg, các nhà nghiên cứu của Trustwave đã tìm kiếm tên tập tin gốc của ransomware mà họ thu được và tra lại trong VirusTotal. Cuối cùng, họ tìm thấy ba mẫu khác của ransomware này và phát hiện ra người đã phát hành ra chúng.

Các nhà nghiên cứu đã tìm ra tài khoản GitHub Cyborg-Ransomware có một nơi lưu trữ với các mã nhị phân của trình xây dựng ransomware, và một kho lưu trữ thứ hai liên kết đến phiên bản tiếng Nga cũng của nhà phát triển đó được lưu trên một trang web khác.

Nhà nghiên cứu Diana Lopera của Trustwave đã giải thích lý do tại sao ransomware Cyborg lại gây ra mối đe dọa nghiêm trọng cho các cá nhân và doanh nghiệp: “Phần mềm Ransomware Cyborg có thể được tạo và phát tán bởi bất kỳ ai nắm giữ công cụ xây dựng (builder). Loại mã độc này được phát tán dưới dạng thư rác, sử dụng nhiều hình thức khác nhau để vượt qua các cổng email”.

Theo TechRadar