MamCute8995
New member
Từ trước giờ chỉ nghe nói trong lý thuyết thôi, giờ mã độc kinh dị này đã xuất hiện ngoài đời thực rồi các bạn ơi!
Hãng bảo mật ESET vừa phát hiện ra một con malware (mã độc) cực kỳ nguy hiểm tên là Lojax, đang âm thầm "cắm rễ" trong máy tính nạn nhân với đoạn code độc hại đến từ nhóm hacker Fancy Bear - một hội hacker nổi tiếng bên Nga.
Điểm đặc biệt của con malware này là nó tấn công thẳng vào UEFI của máy tính. UEFI (Unified Extensible Firmware Interface) là phiên bản nâng cấp của BIOS ngày xưa, dùng để khởi động hệ thống đó. Bằng cách ghi đè UEFI, malware này có thể "sống dai" trong bộ nhớ flash của máy tính, nghĩa là dù bạn có cài lại Windows hay format ổ cứng thế nào, nó vẫn tồn tại như một "linh hồn bất diệt" luôn!
Muốn xóa nó đi đồng nghĩa với việc phải ghi đè lên bộ nhớ flash, "một thao tác không phải ai cũng làm được và chắc chắn không dành cho người dùng bình thường," ESET chia sẻ trên blog của họ.
ESET không tiết lộ ai là nạn nhân bị dính mã độc này, nhưng họ cho biết đã phát hiện Fancy Bear đang sử dụng các thành phần khác nhau của Lojax trên máy tính thuộc các tổ chức chính phủ ở vùng Balkan, Trung và Đông Âu.
Theo ESET, Lojax chính là rootkit UEFI đầu tiên từng bị phát hiện khi đang tấn công một hệ thống thực tế ngoài đời. Trước giờ, các chuyên gia chủ yếu coi rootkit UEFI như một dạng tấn công trong lý thuyết thôi, dù đã có bằng chứng cho thấy các hãng bảo mật tư nhân đang bán công cụ hack cho khách hàng chính phủ.
"Có thể xem đây như một thông điệp cảnh báo, đặc biệt với những ai đang nằm trong tầm ngắm của Fancy Bear," ESET cho biết. Nhóm hacker này còn có tên gọi khác là Sednit, từng bị chỉ trích vì một loạt cuộc tấn công vào các tổ chức chính phủ, kể cả vụ rò rỉ thông tin trong mạng máy tính của Ủy ban Dân chủ Quốc gia trong chiến dịch tranh cử tổng thống Mỹ năm 2016 ấy.
ESET cho biết hành vi của Lojax bắt chước một phần mềm hợp pháp tên là Lojack - một sản phẩm chống trộm cũng rất khó loại bỏ khỏi PC. "Mục đích của phần mềm này là bảo vệ hệ thống khỏi kẻ trộm, khả năng sống sót qua việc cài lại hệ điều hành và thay ổ cứng là rất quan trọng. Vì vậy nó được triển khai như một module trong UEFI/BIOS, có thể sống sót qua các sự kiện như vậy," ESET giải thích.
Fancy Bear đã "vũ khí hóa" sản phẩm chống trộm Lojack này để giúp nhóm hacker tấn công các máy tính và vượt qua phần mềm bảo mật. ESET nhấn mạnh rằng các nhà cung cấp antivirus sẽ cho phép Lojack chạy trên PC vì mặc định tin rằng các process hệ thống này an toàn.
Vẫn chưa rõ Fancy Bear làm cách nào để đưa malware này vào máy tính nạn nhân, nhưng nó có thể được dùng để tải xuống các module phần mềm độc hại khác vào máy tính bị lây nhiễm. "Khả năng tốt nhất của Lojax là vô hình và 'sống dai', nên nó hoàn toàn có thể được sử dụng để đảm bảo duy trì truy cập vào các tài nguyên quan trọng trên máy tính," ESET cho biết trong báo cáo.
Hãng bảo mật này nghi ngờ Lojax được Fancy Bear phát triển từng phần dựa trên các câu lệnh và máy chủ điều khiển giao tiếp với malware. Các tên miền dành cho những máy chủ này trước đây từng được dùng để lưu trữ các công cụ hack khác do Fancy Bear phát triển.
Tin vui là bạn có thể chặn cuộc tấn công Lojax thông qua một tính năng tiêu chuẩn của PC tên là Secure Boot!
ESET cũng khuyến cáo chủ nhân các em PC nên thường xuyên cập nhật firmware cho mainboard để ngăn chặn hacker khai thác các lỗ hổng nha!
Nguồn: kenh14.vn