Hacker đang tận dụng lỗi Zero-day mới của Flash để phân phối spyware

Lỗi zero-day mới của Adobe Flash đang được hacker sử dụng thông qua tài liệu Microsoft Office để phân phối FinSpy, spyware giám sát nổi tiếng.

Kaspersky Lab mới đây đã phát hiện ra lỗi zero-day mới đang tồn tại trong chương trình Adobe Flash giúp hacker có thể thực thi đoạn mã lệnh từ xa. Đáng chú ý là lỗi này đang bị khai thác một cách tích cực bởi nhóm hacker BlackOasis.

Hacker đang tận dụng lỗi Zero-day mới của Flash để phân phối spyware

Lỗ hổng được đề cập là CVE-2017-11292, khi tận dụng hacker có thể thực thi mã lệnh từ xa. Lỗi này ảnh hưởng đến Flash Player phiên bản 21.0.0.226 đối với các hệ điều hành Windows, Macintosh, Linux và Chrome OS.

BlackOasis là cùng một nhóm được cho là có trách nhiệm khai thác lỗ hổng zero-day khác (CVE-2017-8759) do các nhà nghiên cứu FireEye phát hiện vào tháng 9/2017. Cho đến nay, BlackOasis đã tập trung vào các nạn nhân ở các quốc gia khác nhau bao gồm Nga, Iraq, Afghanistan, Nigeria, Libya, Jordan, Tunisia, Ả-rập Xê-út, Iran, Hà Lan, Bahrain, Anh Quốc và Angola.

Bên cạnh đó, mã payload của FinSpy trong các cuộc tấn công khai thác lỗi zero-day của Flash (CVE-2017-11292) có cùng một lệnh kiểm soát (C & C) máy chủ như payload khai thác lỗi CVE-2017-8759 (thực hiện mã lệnh từ xa trên Windows. NET Framework).

Lỗi zero-day trên Flash được báo cáo mới đây ít nhất là lần thứ 5 nhóm BlackOasis khai thác tính từ tháng 6/2015. Nhóm hacker này đã phát tán mã độc thông qua tài liệu Word của Microsoft Office, được đính kèm trong thư rác (spam email) cũng như nhúng vào thành phần ActiveX trong file Word (có chứa mã khai thác lỗi Flash).

Các nhà nghiên cứu của Kaspersky Labs cho biết. “Các Flash object có chứa một ActionScript chịu trách nhiệm xuất mã độc bằng bằng cách dùng một gói tùy chỉnh được thấy trong các cuộc tấn công FinSpy khác”.

FinSpy là một công cụ giám sát rất bí mật, trước đây có liên kết đến Gamma Group – một công ty của Anh chuyên bán phần mềm giám sát và gián điệp cho các cơ quan chính phủ trên toàn thế giới. FinSpy còn được gọi là FinFisher, đây là chương trình có khả năng gián điệp sâu rộng trên hệ thống bị nhiễm, bao gồm bí mật tiến hành giám sát trực tiếp bằng cách bật webcam và micro, ghi lại tất cả các nội dung được nhập trên bàn phím, can thiệp vào các cuộc gọi Skype và lọc thông tin từ tập tin.

Anton Ivanov, chuyên gia phân tích phần mềm độc hại của Kaspersky Lab cho biết: “Cuộc tấn công mới được phát hiện là lần thứ ba trong năm nay chúng tôi thấy FinSpy được phân phối thông qua các lỗ hổng zero-day. Trước đây, các hoạt động triển khai phần mềm độc hại đã khai thác các lỗi bảo mật trong Microsoft Word và các sản phẩm của Adobe. Chúng tôi tin rằng số lượng các cuộc tấn công dựa vào phần mềm FinSpy sẽ tiếp tục phát triển”.

Kaspersky Lab đã báo cáo lỗ hổng này đến Adobe, công ty này cũng đã phát hành phiên bản Adobe Flash Player 27.0.0.159 và 27.0.0.130.

Tháng trước, các nhà nghiên cứu của ESET phát hiện ra việc tải xuống hợp pháp các ứng dụng phổ biến như WhatsApp, Skype, VLC Player và WinRAR (đã bị khai thác ở cấp độ ISP) cũng đang phân phối FinSpy. Vì vậy, các doanh nghiệp và tổ chức chính phủ trên khắp thế giới đang được đề nghị cài đặt các bản cập nhật từ Adobe càng sớm càng tốt. Microsoft cũng sẽ phát hành bản cập nhật bảo mật để vá các thành phần Flash Player được sử dụng bởi các sản phẩm của mình.

Dịch từ: TheHackerNews