Một phần mềm độc hại mới có tên là ShadowWali vừa được phát hiện đã nhanh chóng tấn công hệ thống mạng tại Nhật Bản từ năm 2015 tới bây giờ mà trước đó không ai hề biết.
Theo đó, ShadowWali vừa được các chuyên gia thuộc công ty bảo mật Cybereason cho hay rằng, nó là phiên bản mới nhất đã được phân tán trên nền tảng phần mềm độc hại Wali được cho là cũng từng oanh tạc hệ thống mạng Nhật bản nhiều năm về trước.
Kết quả nghiên cứu cho thấy, ShadowWali đã hoạt động âm thầm, phân tán ở khắp hệ thống mạng Internet của Nhật kể từ năm 2015 tới bây giờ. Nhiệm vụ của nó là xâm nhập vào các máy tính bị lây nhiễm, tự động kết nối mạng máy chủ và sau đó là đánh cắp các thông tin của người dùng.
Phía đại diện công ty bảo mật Cybereason cho hay thêm rằng cả hai phần mềm ShadowWali và Wali đều tạo ra từ một người dùng vô danh có ký tự “Người dùng 123”. Cả hai phần mềm này đều được xây dựng và phát triển trên một chương trình xây dựng phần mềm độc hại XXMM, chứa rất nhiều mã rác, mã độc có dung lượng có thể lên tới 200 MB. Nhiều người cho rằng đây là hình thức ngụy trang kiểu mới để giúp nó vượt qua các phần mềm diệt virus, mã độc truyền thống, đặc biệt là các chương trình có xu hướng bỏ quét các tệp tin dung lượng lớn.
Cả ShadowWali và Wali đều tự động chèn các payload độc hại vào vào Internet Explorer sau đó cho phép tự tải các tệp trình LSASS.exe và explorer.exe (có cả bản 32 –bit hoặc 64 –bit) để tiêm chích, cài ngầm vào hệ thống máy tính nạn nhân.
Đến nay, cả hai phần mềm Wali và ShadowWali vẫn đang tích cực nhắm mục tiêu vào các tổ chức của Nhật Bản, trong đó, danh tính của “người dùng 123” vẫn chưa thể nào điều tra được, nhưng phần lớn cho rằng, kẻ phát tán này đang sống tại Châu Á và có xu hướng tấn công vào website các tổ chức của Nhật.
Hiện các chuyên gia bảo mật đang quan tâm và chuẩn bị lên chiến lược để ứng phó với bộ đôi phần mềm độc hại nguy hiểm này.
Thegioibantin.com | Vina Aspire
Nguồn: Vina Aspire, Huỳnh Dũng – Theo Infosecurity-magazine