App máy tính của Windows bị lợi dụng để lây mã độc

Sử dụng app máy tính mặc định của Windows, tin tặc có thể lây nhiễm mã độc vào thiết bị để đánh cắp thông tin hoặc tống tiền.

Nhà nghiên cứu bảo mật "ProxyLife" vừa phát hiện thủ đoạn sử dụng app máy tính của Windows 7 để tấn công vào thiết bị cài các phiên bản mới hơn. Nếu không cẩn thận, người dùng sẽ khiến máy tính bị nhiễm QBot, mã độc đánh cắp thông tin cá nhân hoặc tống tiền.

Theo Bleeping Computer, tin tặc sẽ "dụ dỗ" người dùng bằng cách gửi email chứa file định dạng web (HTML). Khi mở file này, trình duyệt sẽ tải file nén (ZIP) được cài mật khẩu, bên trong chứa một file khác dưới định dạng ISO. Việc đặt mật khẩu giúp phần mềm diệt virus trên máy tính không thể quét và phát hiện điểm nghi ngờ.

Những tập tin để lây nhiễm QBot, gồm ứng dụng máy tính của Windows 7. Ảnh: Bleeping Computer.

Bên trong tập tin ISO chứa một file phím tắt (LNK) và ứng dụng "calc.exe", là app máy tính mặc định của Windows 7. Thư mục còn chứa 2 file DLL, gồm các đoạn mã giúp ứng dụng hoạt động. Trong đó, file "WindowsCodecs.dll" bị chỉnh sửa để liên kết đến file chứa mã độc, có tên "102755.dll".

Ban đầu khi mở file ISO, người dùng chỉ nhìn thấy tập tin LNK, được ngụy trang dưới tài liệu báo cáo dạng PDF. Thực chất, đây là phím tắt dẫn đến file "calc.exe" nằm cùng thư mục. Mở file PDF đồng nghĩa ứng dụng máy tính "calc.exe" được kích hoạt, kèm các file DLL chứa mã độc.

Cụ thể, "calc.exe" liên kết với "WindowsCodecs.dll", file này tiếp tục dẫn đến "102755.dll" để lây nhiễm QBot vào thiết bị. Do tập tin "calc.exe" được xem như ứng dụng tin cậy, hệ thống bảo mật của Windows sẽ không cảnh báo khi người dùng truy cập.

Lý do tin tặc sử dụng file "calc.exe" của Windows 7 là khi kích hoạt, ứng dụng này sẽ ưu tiên liên kết với file DLL nằm cùng thư mục (nếu có). Trong khi đó, app máy tính trên các bản Windows mới luôn tìm đến file DLL thuộc thư mục hệ thống.

File PDF được "ngụy trang" để mở ứng dụng máy tính khi kích hoạt. Ảnh: Bleeping Computer.

QBot (Qakbot) xuất hiện từ năm 2009. Ban đầu, QBot hoạt động dưới dạng trojan chuyên đánh cắp tài khoản ngân hàng, sau đó phát triển thành mã độc (malware), được dùng bởi các tổ chức tin tặc để đánh cắp thông tin, hoặc hỗ trợ lây nhiễm mã độc tống tiền (ransomware).

Chiến dịch lây nhiễm QBot bằng ứng dụng máy tính được "ProxyLife" phát hiện từ giữa tháng 7. Hiện chưa rõ Microsoft có cập nhật Windows Defender để ngăn chặn kiểu tấn công này hay không. Người dùng có thể phòng tránh bằng cách không tải file từ trang web hoặc email lạ.

Nhiều ứng dụng Android phổ biến chứa mã độc Một loạt ứng dụng dành cho thiết bị Android có chứa mã độc được phát hiện trên cửa hàng Google Play. 36:2177 hôm qua

Đóng cửa trang web giả mạo Unikey chứa mã độc Hiện tại, đơn vị quản lý đã đóng cửa tên miền này. Tác giả của UniKey cũng nhiều lần cảnh báo người dùng về các website giả mạo, chỉ nên tải về từ unikey.org. 12:52 17/2/2022

Nhiều người dùng iPhone bị theo dõi mà không hề hay biết Sử dụng kỹ thuật ForcedEntry, hai công ty Israel cài phần mềm gián điệp lên iPhone mà không cần người dùng bấm vào đường dẫn chứa mã độc. 18:35 8/2/2022

Dùng app máy tính của Windows để lây mã độc Windows 7 Windows 10 PC QBot Qakbot virus trojan mã độc lây nhiễm ransomware máy tính thiết bị tống tiền lừa đảo

Adblock test (Why?)

Xem Chi Tiết Ở Đây >>>
Bạn có thể quan tâm:
>> Máy nhồi bột Bear có tốt không? Địa chỉ mua máy nhồi bột Bear chính hãng
>> Nồi phủ sứ an toàn Honey's HO-AP2C182 size 18 màu vàng
>> Trên tay Galaxy A52 5G: Phiên bản nâng cấp với màn hình 120 Hz, chip Snapdragon 750G và thiết kế không đổi