Các nhà nghiên cứu đã phát hiện ra một chiến dịch malware mới đang tích cực diễn ra trong tự nhiên. Được xác định là Clipsa, về cơ bản là một malware khai thác và đánh cắp tiền điện tử (cryptostealer and cryptominer) nhắm vào các trang web WordPress không bảo mật.
Hơn nữa, malware này cũng thay thế các địa chỉ tiền điện tử từ clipboard – do đó mới có tên là ‘Clipsa’. Malwaretiếp tục lây lan bằng cách quét thêm trên internet để tìm ra các trang web chứa lỗ hổng thông qua các máy tính bị nhiễm.
Malware Clipsa nhắm mục tiêu vào các trang WordPress
Các nhà nghiên cứu từ Avast đã phát hiện ra một chiến dịch malware khổng lồ nhắm vào hàng ngàn PC trên toàn thế giới. Malware Clipsa liên quan đến chiến dịch này chủ yếu nhắm vào tiền điện tử.
Nói về các hoạt động độc hại được thực hiện bởi malware này, các nhà nghiên cứu cho biết Clipsa là một kẻ đánh cắp mật khẩu đa năng, được viết bằng Visual Basic, tập trung vào việc đánh cắp tiền điện tử, tấn công brute-force và đánh cắp thông tin quản trị viên từ các trang web WordPress không bảo mật, thay thế địa chỉ tiền điện tử có trong clipboard và khai thác tiền điện tử trên các máy bị nhiễm. Một số phiên bản của Clipsa cũng triển khai tính năng đào tiền xu (coinminer) XMRig để kiếm thêm tiền từ các máy tính bị nhiễm.
Malware tiếp cận thiết bị nạn nhân bằng cách che giấu bản thân dưới dạng trình cài đặt codec pack độc hại cho media player. Nạn nhân thường vô tình tải về phần mềm độc hại cùng với player.
Bên cạnh đó, Clipsa cũng có thể nhắm mục tiêu vào các trang web WordPress chứa lỗ hổng từ một PC bị lây nhiễm.
Phân tích cuộc tấn công
Sau khi tải xuống, tệp malware đa tham số sẽ cài đặt và thực hiện các hoạt động trong những giai đoạn khác nhau. Trong trường hợp pha khởi đầu không có các tham số cụ thể, các pha sau có tham số cụ thể sẽ gợi ý cho từng chức năng.
Quá trình này bao gồm:
1. Khởi đầu – Không có tham số. Trong giai đoạn này, phần mềm độc hại sẽ cài đặt và ẩn trên hệ thống, đồng thời thực hiện các giai đoạn tiếp theo.
2. CLIPS
3. CLIPPS
4. WALLS
Các giai đoạn trên (2-4) nhằm mục tiêu đánh cắp dữ liệu liên quan đến ví tiền điện tử của người dùng. Các hoạt động được thực hiện trong các giai đoạn này bao gồm thay thế địa chỉ ví trên clipboard bằng đia chỉ của những kẻ tấn công từ danh sách được xác định trước. Do đó, khi nạn nhân dán địa chỉ ví của mình ở bất cứ đâu thì cũng đồng nghĩa với việc vô tình dán địa chỉ kẻ tấn công ở đó.
5. PARSE
6. BRUTE
Hai giai đoạn trên liên quan đến việc thu thập dữ liệu cho các trang web WordPress chứa lỗ hổng trên internet và tấn công brute-force để đánh cắp thông tin của quản trị viên.
Logging
Những kẻ tấn công đứng đằng sau malware Clipsa dường như cũng muốn phân tích các hoạt động của phần mềm độc hại, vì nó cũng liên quan đến việc ghi chép nhật ký dữ liệu.
Các nhà nghiên cứu cho biết Clipsa tạo và sử dụng một tệp bổ sung: C: \ Users \ user \ AppData \ Roaming \ AudioDG \ log.dat Tệp này được sử dụng cho mục đích ghi chép nhật ký dữ liệu mà tác giả của malware có thể sử dụng để gỡ lỗi Clipsa và lấy số liệu thống kê.
Các nhà nghiên cứu đã trình bày một phân tích kỹ thuật chi tiết về phần mềm độc hại trong bài đăng trên blog của họ.
Chiến dịch malware đang hoạt động tích cực trong tự nhiên
Clipsa thu hút sự chú ý của các nhà nghiên cứu do các chiến dịch tấn công tích cực trên khắp thế giới. Cụ thể, phần mềm độc hại đang nở rộ ở Ấn Độ, sau đó đến Philippines và Brazil.
Trong khoảng thời gian một năm, các nhà nghiên cứu đã phát hiện hàng ngàn thiết bị nạn nhân bị tấn công bởi phần mềm độc hại này.
Tổng cộng, Avast đã bảo vệ hơn 253.000 người dùng tránh khỏi hơn 360.000 lần tấn công, kể từ ngày 1 tháng 8 năm 2018.
Để đảm bảo an toàn cho thiết bị, người dùng được khuyến nghị nên giữ cho hệ thống của mình được cập nhật thường xuyên với các chương trình chống phần mềm độc hại mạnh mẽ. Đầu năm nay, các nhà nghiên cứu cũng đã cảnh báo về một malware CookieMiner tương tự chủ yếu nhắm mục tiêu vào người dùng Mac
Thêm bình luận