Bạn có thể chuyển sang phiên bản mobile rút gọn của Tri thức trực tuyến nếu mạng chậm. Đóng
M

Chuyển đổi số An ninh mạng

App máy tính của Windows bị lợi dụng để lây mã độc

  • Thứ bảy, 30/7/2022 07:09 (GMT+7)
  • 07:09 30/7/2022

Sử dụng app máy tính mặc định của Windows, tin tặc có thể lây nhiễm mã độc vào thiết bị để đánh cắp thông tin hoặc tống tiền.

Nhà nghiên cứu bảo mật "ProxyLife" vừa phát hiện thủ đoạn sử dụng app máy tính của Windows 7 để tấn công vào thiết bị cài các phiên bản mới hơn. Nếu không cẩn thận, người dùng sẽ khiến máy tính bị nhiễm QBot, mã độc đánh cắp thông tin cá nhân hoặc tống tiền.

Theo Bleeping Computer, tin tặc sẽ "dụ dỗ" người dùng bằng cách gửi email chứa file định dạng web (HTML). Khi mở file này, trình duyệt sẽ tải file nén (ZIP) được cài mật khẩu, bên trong chứa một file khác dưới định dạng ISO. Việc đặt mật khẩu giúp phần mềm diệt virus trên máy tính không thể quét và phát hiện điểm nghi ngờ.

app Windows lay ma doc anh 1

Những tập tin để lây nhiễm QBot, gồm ứng dụng máy tính của Windows 7. Ảnh: Bleeping Computer.

Bên trong tập tin ISO chứa một file phím tắt (LNK) và ứng dụng "calc.exe", là app máy tính mặc định của Windows 7. Thư mục còn chứa 2 file DLL, gồm các đoạn mã giúp ứng dụng hoạt động. Trong đó, file "WindowsCodecs.dll" bị chỉnh sửa để liên kết đến file chứa mã độc, có tên "102755.dll".

Ban đầu khi mở file ISO, người dùng chỉ nhìn thấy tập tin LNK, được ngụy trang dưới tài liệu báo cáo dạng PDF. Thực chất, đây là phím tắt dẫn đến file "calc.exe" nằm cùng thư mục. Mở file PDF đồng nghĩa ứng dụng máy tính "calc.exe" được kích hoạt, kèm các file DLL chứa mã độc.

Cụ thể, "calc.exe" liên kết với "WindowsCodecs.dll", file này tiếp tục dẫn đến "102755.dll" để lây nhiễm QBot vào thiết bị. Do tập tin "calc.exe" được xem như ứng dụng tin cậy, hệ thống bảo mật của Windows sẽ không cảnh báo khi người dùng truy cập.

Lý do tin tặc sử dụng file "calc.exe" của Windows 7 là khi kích hoạt, ứng dụng này sẽ ưu tiên liên kết với file DLL nằm cùng thư mục (nếu có). Trong khi đó, app máy tính trên các bản Windows mới luôn tìm đến file DLL thuộc thư mục hệ thống.

app Windows lay ma doc anh 2

File PDF được "ngụy trang" để mở ứng dụng máy tính khi kích hoạt. Ảnh: Bleeping Computer.

QBot (Qakbot) xuất hiện từ năm 2009. Ban đầu, QBot hoạt động dưới dạng trojan chuyên đánh cắp tài khoản ngân hàng, sau đó phát triển thành mã độc (malware), được dùng bởi các tổ chức tin tặc để đánh cắp thông tin, hoặc hỗ trợ lây nhiễm mã độc tống tiền (ransomware).

Chiến dịch lây nhiễm QBot bằng ứng dụng máy tính được "ProxyLife" phát hiện từ giữa tháng 7. Hiện chưa rõ Microsoft có cập nhật Windows Defender để ngăn chặn kiểu tấn công này hay không. Người dùng có thể phòng tránh bằng cách không tải file từ trang web hoặc email lạ.

Nhiều ứng dụng Android phổ biến chứa mã độc

Một loạt ứng dụng dành cho thiết bị Android có chứa mã độc được phát hiện trên cửa hàng Google Play.

19:38 28/7/2022

Đóng cửa trang web giả mạo Unikey chứa mã độc

Hiện tại, đơn vị quản lý đã đóng cửa tên miền này. Tác giả của UniKey cũng nhiều lần cảnh báo người dùng về các website giả mạo, chỉ nên tải về từ unikey.org.

12:52 17/2/2022

Nhiều người dùng iPhone bị theo dõi mà không hề hay biết

Sử dụng kỹ thuật ForcedEntry, hai công ty Israel cài phần mềm gián điệp lên iPhone mà không cần người dùng bấm vào đường dẫn chứa mã độc.

18:35 8/2/2022

Phúc Thịnh

app Windows lây mã độc Windows 7 Windows 10 PC QBot Qakbot virus trojan mã độc lây nhiễm ransomware máy tính thiết bị tống tiền lừa đảo

Bình luận

    Đọc tiếp

    Bạn có thể quan tâm

    XEM NHIỀU

    Xem thêm

    Trang web của chúng tôi sử dụng cookie để cải thiện trải nghiệm của bạn. Đọc thêm về Chính sách Cookie của chúng tôi

    Từ chối Đồng ý