Chiến dịch tấn công vào người dùng Israel bằng mã độc mã hoá tống tiền bị thất bại thảm hại
Theo các bằng chứng ghi nhận được, tin tặc đã phát động một cuộc tấn công phát tán mã độc mã hoá tống tiền (ransomware) vào ngày 2/3/2019 nhằm lây nhiễm hàng triệu người dùng tại Israel. Vụ tấn công này được cho là xuất phát từ các tin tặc đang sống tại Palestine.
Chiến dịch tấn công vào người dùng Israel bằng mã độc mã hoá tống tiền bị thất bại thảm hại - CyberSec365.org |
Cụ thể, vào ngày 2/3/2019, khi tin tặc tiến hành tấn công đầu độc hệ thống DNS (poisoned DNS) của Nagich - một dịch vụ cung cấp các tiện ích (widget) được nhúng trên hàng ngàn website tại Israel hỗ trợ người khuyết tật đọc web.
Theo báo cáo từ các chuyên gia an ninh mạng Israel, tin tặc đã chèn mã độc vào các widget của Nagich để nhúng vào hàng ngàn website của Israel. Mã độc này khi được load trên máy nạn nhân sẽ xuất ra một thông báo có nội dung "#OpJerusalem, Jerusalem is the capital of Palestine", và sau đó nó sẽ tự tải xuống một tập tin thực thi có tên "flashplayer_install.exe", và tập tin này chứa mã độc mã hoá tống tiền.
Tuy nhiên, mặc dù thông báo trên đã xuất hiện trên hàng ngàn website của Israel, bao gồm một số trang web tin tức lớn nhất tại đây, nhưng quá trình tự động tải xuống đã không hoạt động.
Theo các nhà nghiên cứu, một lỗi về mã hoá đã ngăn chặn quá trình tải xuống của mã độc. Bản thân mã độc sẽ dừng sau khi chuyển hướng và không kích hoạt tải xuống ransomware nếu phiên bản HĐH sẽ là một chuỗi khác với "Windows".
Lỗi xuất phát từ thực tế là không có chuỗi tác nhân người dùng của "Windows", vì các chuỗi tác nhân người dùng trình duyệt cũng bao gồm số phiên bản Windows, chẳng hạn như "Windows XP" hoặc "Windows 10."
Điều này có nghĩa là câu lệnh "nếu" luôn trả về đúng, bất kể hệ điều hành và mã độc đã thực hiện việc xóa và sau đó dừng lại, hủy bỏ mục đích tải xuống.
Chiến dịch tấn công vào người dùng Israel bằng mã độc mã hoá tống tiền bị thất bại thảm hại - CyberSec365.org |
Cuộc tấn công vào Nagich chỉ kéo dài vài giờ và dịch vụ đã lấy lại quyền truy cập vào các bản ghi DNS của nó và ngừng cung cấp mã độc vào cuối ngày.
Nguồn: ZDNet
Không có nhận xét nào