Xuất hiện mã độc tống tiền qua PowerShell

Loại mã độc tống tiền có tên PowerWare tấn công trực diện vào trình tiện ích dòng lệnh Windows PowerShell để đánh cắp thông tin của nhiều doanh nghiệp.;

Theo PCWorld, một loại mã độc tống tiền có tên PowerWare đã xuất hiện trên trình tiện ích dòng lệnh và ngôn ngữ kịch bản Windows PowerShell. Đối tượng hướng tới của PowerWare là các doanh nghiệp, các tổ chức chăm sóc sức khỏe.

Windows PowerShell là một trình framework quản lý cấu hình và nhiệm vụ tự động. PowerShell thường được các nhà quản trị hệ thống sử dụng. Nhờ ngôn ngữ script mạnh mẽ, PowerShell có thể được sử dụng để tạo ra các phần mềm độc hại với độ tinh vi cực cao.

Được biết, mã độc PowerWare do các nhà nghiên cứu đến từ hãng bảo mật Carbon Black phát hiện. Chúng ẩn giấu dưới các tệp tin Word chứa mã độc macro, được gửi tới nạn nhân thông qua email lừa đảo. Đây là một kỹ thuật tấn công và lừa đảo phổ biến hiện nay. Tuy vậy vẫn có khá nhiều các bệnh viện đã trở thành nạn nhân của loại mã độc tống tiền này.

Các nhà nghiên cứu cho biết, những tài liệu Word chứa mã độc giống như một hóa đơn. Khi bạn mở ra, nó sẽ yêu cầu bạn phải bật tính năng chỉnh sửa nội dung trên Word, và coi đó là điều kiện tiên quyết để xem một tệp tin.

Trên thực tế, việc kích hoạt chỉnh sửa văn bản trên Word sẽ vô hiệu hóa tính năng xem trước trong hộp cát bảo vệ (sandbox) của Microsoft Word. Qua đó, các mã macro được nhúng trong văn bản bị Office chặn trước đó sẽ dễ dàng "lộng hành".

Khi mã macro được kích hoạt, nó sẽ mở ra các dòng lệnh cmd.exe trên Windows. Lúc này xảy ra hai trường hợp với PowerShell (powershell.exe). Tin tặc có thể cài mã độc PowerWare từ một máy chủ điều khiển từ xa khi viết các đoạn script trên PowerShell. Một trường hợp khác, tin tặc có thể thực thi trực tiếp các đoạn script chứa mã độc.

Các script tạo ra một khóa mã hóa, được dùng để mã hóa các tệp tin có extension cụ thể, gồm văn bản, hình ảnh, video, tài liệu lưu trữ và mã nguồn. Những khóa mã hóa này tiếp tục được gửi tới máy chủ của kẻ tấn công, đồng thời tạo ra các ghi chú tống tiền trong tệp tin HTML.

Dựa trên các hướng dẫn thanh toán, những kẻ tấn công có thể sử dụng mạng ẩn danh Tor để ẩn máy chủ ra lệnh và kiểm soát. Các khoản tiền chuộc dữ liệu ban đầu chỉ khoảng 500 USD, nhưng con số có thể tăng lên 1.000 USD chỉ sau vài tuần.

PowerWare không phải là mã độc tống tiền đầu tiên trong PowerShell. Hồi năm 2013, các nhà nghiên cứu bảo mật từ hãng Sophos đã phát hiện một chương trình mã độc tống tiền tiếng Nga tương tự. Tới năm 2015, họ cũng tìm thấy một mã độc khác ẩn náu trong logo Los Pollos Hermanos trên show truyền hình Breaking Bad.

Mã độc tống tiền trong PowerShell không phải là một hình thức tấn công mới. Có chăng, nó chỉ khó phát hiện hơn những mã độc truyền thống khác. Đặc biệt sự phổ biến của PowerShell trong môi trường doanh nghiệp càng khiến công cụ này trở thành "miếng mồi" béo bở cho tin tặc.

Tiến Thanh