STOP Ransomware - mã độc mã hoá tống tiền được tính hợp tính năng đánh cắp thông tin người dùng đang được phát tán rộng rãi

Ngoài việc mã hoá các tập tin của nạn nhân đề đòi tiền chuộc, mã độc mã hoá tống tiền STOP cũng tiến hành cài đặt mã độc có tên gọi là Azorult nhằm đánh cắp các thông tin đăng nhập tài khoản ngân hàng, ví điện tử,...

STOP Ransomware - mã độc mã hoá tống tiền được tính hợp tính năng đánh cắp thông tin người dùng đang được phát tán rộng rãi - CyberSec365.org

Theo đó, mã độc Azorult sau khi lây nhiễm lên máy tính nạn nhân sẽ cố gắng đánh cắp tên và mật khẩu được lưu trong trình duyệt, mật khẩu các tập tin, ví điện tử, thông tin đăng nhập Steam, lịch sử tin nhắn Skype,... Thông tin này sau đó được tải lên một máy chủ bị kiểm soát bởi tin tặc.

Khi được phát hiện lần đầu tiên, mã độc DJVU - một mẫu biến thể của mã độc mã hoá tống tiền STOP, được phát tán thông qua các chương trình bẻ khoá phần mềm vào tháng 1/2019. Khi được thực thi, mã độc này sẽ tải xuống các phần mềm độc hại khác nhau nhằm thực hiện đa tác vụ bao gồm: hiển thị một màn hình Windows Update giả mạo, vô hiệu hoá Windows Defender, chặn truy cập các trang web bảo mật bằng cách thêm các chỉ mục vào tệp HOSTS của Windows.

Khi Michael Gillespie - một nhà nghiên cứu mã độc tự do, tiến hành thử nghiệm một số biến thể mới đây của mã độc mã hoá tống tiền STOP, anh ta nhận ra rằng một trong những tác nhận được tải xuống chính là mã độc Azorul.

STOP Ransomware - mã độc mã hoá tống tiền được tính hợp tính năng đánh cắp thông tin người dùng đang được phát tán rộng rãi - CyberSec365.org

Cụ thể, khi tiến hành khởi chạy tập tin mã độc, nó sẽ tiến hành tải xuống các tập được liệt kê trong IOC và mã hoá các tập tin trong máy tính và thêm phần đuôi ".promorad" vào sau tập tin bị mã hoá và tạo ghi chú đòi tiền chuộc có tên là _readme.txt như hiển thị bên dưới.

STOP Ransomware - mã độc mã hoá tống tiền được tính hợp tính năng đánh cắp thông tin người dùng đang được phát tán rộng rãi - CyberSec365.org

Các mẫu biến thể Promorad Ransomware được thử nghiệm cũng tải xuống một tệp có tên 5.exe và thực thi nó. Khi được thực thi, chương trình sẽ tạo ra lưu lượng truy cập mạng giống hệt với các thông tin liên lạc của máy chủ chỉ huy & điều khiển C2) đã biết đối với Trojan đánh cắp thông tin Azorult.

STOP Ransomware - mã độc mã hoá tống tiền được tính hợp tính năng đánh cắp thông tin người dùng đang được phát tán rộng rãi - CyberSec365.org

 Hơn nữa, khi tệp này được quét bằng VirusTotal, nhiều nhà cung cấp bảo mật phát hiện tệp này là một Trojan đánh cắp mật khẩu.

Trở thành nạn nhân của ransomware là đủ tệ, nhưng để biết rằng mật khẩu và tài liệu của bạn có thể bị đánh cắp cũng như chỉ thêm một lớp vấn đề khác mà nạn nhân cần phải quan tâm.

Theo các nhà nghiên cứu, các nạn nhân không may bị nhiễm mã độc mã hoá tống tiền STOP nên lập tức thay đổi mật khẩu tất cả các tài khoản của mình, đặc biệt là các mật khẩu được lưu trong trình duyệt. Bên cạnh đó, nạn nhân cũng nên thay đổi mật khẩu của các phần mềm như Skype, Steam, Telegram và FTP Client.

STOP Ransomware đã trở thành một mã độc phổ biến với nhiều biến thể và hiện tại vẫn chưa biết tin tặc đã cài đặt Azorult lên những biến thể nào. Do đó, để an toàn, tất cả nạn nhân của STOP nên thực hiện các biện pháp khắc phục trên.

Danh sách các phần mở rộng STOP đã biết bao gồm:

.blower
.djvu
.infowait
.promok
.promorad2
.promos
.promoz
.puma
.rumba
.tro

Nguồn: Bleeping Computer