Mã độc tống tiền (ransomware) khét tiếng Cerber đã nhận được bản cập nhật mới có khả năng ăn cắp mật khẩu trình duyệt và thông tin đăng nhập bitcoin, thay vì chỉ mã hóa tập tin như thông thường.
Theo Neowin, các nhà nghiên cứu tại hãng bảo mật Trend Micro đã phát hiện phiên bản cập nhật của ransomware Cerber vẫn được phân phối theo cách cũ là gửi email spam. Tập tin đính kèm javascript bên trong nó có thể tải về phiên bản mới của Cerber với khả năng tấn công ví bitcoin.
Để làm điều này, Cerber sẽ ăn cắp tập tin ví từ ba máy khách bitcoin: wallet.dat từ Bitcoin Core, *.wallet từ Multibit và electrum.dat từ Electrum. Tuy nhiên, điều đáng chú ý là việc lấy tập tin ví bitcoin không có nghĩa bitcoin có thể bị đánh cắp bởi tên trộm vẫn cần nhận mật khẩu bảo vệ ví, trong khi khách hàng của Electrum đã ngừng sử dụng tên tập tin trên kể từ năm 2013.
Vấn đề với Cerber trở nên tồi tệ hơn khi biến thể mới của nó giờ đây có thể cố gắng lấy cắp mật khẩu được lưu từ các trình duyệt như Internet Explorer, Mozilla Firefox và Google Chrome.
Các bước này được thực hiện trước khi quá trình mã hóa thông thường diễn ra. Tất cả dữ liệu bị đánh cắp sẽ được gửi đến máy chủ Command & Control (C&C) và các tập tin ví sẽ bị xóa trên máy chủ sau khi chúng được gửi đi.
|
Nội dung thông điệp cảnh báo đến từ mã độc tống tiền Cerber |
Được biết, Cerber là một trong nhiều loại mã độc tước đoạt tiền của nạn nhân nhiều nhất. Cách đây 1 năm, nó đã được phát hiện với khả năng thu về tiền chuộc lên đến 1 triệu USD/năm, mặc dù chỉ có 0,3% trong số những nạn nhân phải chấp nhận trả tiền. Mã độc hại này cũng có khả năng phát hiện các máy ảo, từ đó ngăn chặn sự phân tích của các nhà nghiên cứu bảo mật.
Vì vậy các nhà bảo mật Trend Micro khuyến cáo người dùng cẩn thận trong việc mở email mà họ nhận được, đặc biệt là các tập tin đính kèm. Một số tập tin giả mạo có nội dung quan trọng hoặc vô hại nhưng thực tế sẽ phát tán mã nguy hiểm có thể ảnh hưởng đến tính bảo mật máy tính của nạn nhân.
Theo Thành Luân (Thanh Niên Online)