Phát hiện mã độc Zyklon lợi dụng 3 lỗ hổng trên Microsoft Office

Buzz

Đọc tóm tắt

- Chuyên gia an ninh mạng phát hiện botnet Zyklon tái xuất sau gần 2 năm, tấn công qua 3 lỗ hổng của Microsoft Office để đánh cắp thông tin quan trọng từ các công ty tài chính, bảo hiểm, và viễn thông.
- Mã độc Zyklon sử dụng giao thức HTTP và mạng Tor để tương tác với máy chủ điều khiển, có khả năng thực hiện DDoS và đào tiền ảo.
- Tin tặc lợi dụng các lỗ hổng CVE-2017-8759, CVE-2017-11882 và Dynamic Data Exchange để lây lan qua email lừa đảo.

Chuyên gia an ninh mạng mới phát hiện một vụ phát tán mã độc Zyklon qua 3 lỗ hổng trong Microsoft Office. Malware Zyklon tái xuất sau gần 2 năm, chủ yếu nhắm vào các công ty tài chính, bảo hiểm, và viễn thông.

Xuất hiện từ năm 2016, Zyklon là một botnet sử dụng giao thức HTTP để trao đổi thông tin với máy chủ điều khiển qua mạng Tor và cho phép tin tặc đánh cắp thông tin nhạy cảm như tài khoản, mật khẩu từ trình duyệt web hoặc email.

Mã độc Zyklon có khả năng mở rộng tính năng để tấn công DDoS hoặc đào tiền ảo. Các phiên bản của Zyklon được bán trên các chợ đen với giá từ 75$ (phiên bản thông thường) và 125$ (phiên bản sử dụng Tor).

Theo báo cáo của FireEye, tin tặc đã tận dụng ít nhất 3 lỗ hổng trên Microsoft Office để thực thi đoạn mã PowerShell trên máy mục tiêu và chạy mã độc từ máy chủ điều khiển.

1. Lỗ hổng CVE-2017-8759: Cho phép tin tặc thực thi mã từ xa trong quá trình xử lý dữ liệu đầu vào không tin tưởng, Microsoft đã vá lỗ hổng này trong bản cập nhật tháng 9.

2. Lỗ hổng CVE-2017-11882: Lỗ hổng này đã tồn tại trong 17 năm và được Microsoft vá trong bản vá bảo mật tháng 11, cho phép tin tặc thực thi mã trên máy nạn nhân mà không cần sự tương tác của nạn nhân.

3. Lỗ hổng trên giao thức Dynamic Data Exchange (DDE): Kỹ thuật này cho phép tin tặc thực thi mã độc trên máy nạn nhân mà không cần tính năng Macro được bật.

Tin tặc đã khai thác 3 lỗ hổng này để phát tán mã độc Zyklon qua email lừa đảo, khiến người dùng mở tập tin đính kèm và chạy mã PowerShell tải mã độc từ máy chủ điều khiển.

Hãy đảm bảo rằng các doanh nghiệp, tổ chức và người dùng đã cập nhật các bản vá bảo mật của Microsoft Office ngay lập tức và kiểm tra mã độc trong hệ thống bằng các chương trình Anti-virus.

Đặc biệt, cần phải cẩn thận khi mở các tập tin đính kèm email từ nguồn gửi không rõ hoặc có nội dung không rõ ràng.

Nội dung được phát triển bởi đội ngũ Mytour với mục đích chăm sóc khách hàng và chỉ dành cho khích lệ tinh thần trải nghiệm du lịch, chúng tôi không chịu trách nhiệm và không đưa ra lời khuyên cho mục đích khác.

Nếu bạn thấy bài viết này không phù hợp hoặc sai sót xin vui lòng liên hệ với chúng tôi qua email [email protected]

Các câu hỏi thường gặp

Mã độc Zyklon là gì và nó hoạt động như thế nào?

Mã độc Zyklon là một botnet được phát hiện từ năm 2016, nhắm vào công ty tài chính và bảo hiểm. Nó sử dụng giao thức HTTP qua mạng Tor để đánh cắp thông tin nhạy cảm như tài khoản và mật khẩu.

Có những lỗ hổng nào trong Microsoft Office bị tin tặc khai thác?

Tin tặc đã khai thác 3 lỗ hổng: CVE-2017-8759 cho phép thực thi mã từ xa, CVE-2017-11882 cho phép thực thi mã không cần tương tác, và lỗ hổng DDE cho phép chạy mã độc mà không cần bật Macro.

Nguy cơ nào khi mở tập tin đính kèm từ email không rõ nguồn gốc?

Mở tập tin đính kèm từ email không rõ nguồn gốc có thể khiến bạn trở thành nạn nhân của mã độc như Zyklon, dẫn đến việc đánh cắp thông tin cá nhân và các dữ liệu nhạy cảm.

Mã độc Zyklon có tính năng gì đặc biệt không?

Có, mã độc Zyklon có khả năng mở rộng để thực hiện tấn công DDoS hoặc đào tiền ảo, khiến nó trở thành một công cụ nguy hiểm trong tay tin tặc.