Hàng trăm nghìn máy tính bị Trojan “truy sát”

(Dân trí) - Các tác giả viết Trojan ăn cắp mật khẩu đã “nắm lòng” cách thức tấn công mạng nội bộ của các doanh nghiệp. Hàng trăm nghìn máy tính, trong đó có hơn 14.000 PC của một chuỗi khách sạn lớn trên thế giới, bị lây nhiễm mã độc Coreflood.

Những kẻ gian này đã cố kiên trì chờ đợi các quản trị hệ thống đăng nhập vào những máy tính bị nhiễm Trojan và sau đó sử dụng công cụ quản trị PsExec của Microsoft để phát tán phần mềm độc hại trên toàn mạng.

 

Những tin tặc viết ra loại Trojan Coreflood sử dụng phần mềm để ăn cắp tài khoản ngân hàng, username và mật khẩu của nạn nhân. Theo Joe Stewart, GD công ty nghiên cứu phần mềm malware  SecureWorks, bọn xấu đã thu thập được đến 50GB thông tin nhạy cảm từ hàng trăm nghìn máy tính bị nhiễm virus.

 

“Trojan này có thể phát tán trên toàn bộ doanh nghiệp có trụ sở ở khắp nơi trên thế giới”, Joe Stewart nhấn mạnh. Chiêu tấn công này vẫn còn rất hiếm khi xảy ra bởi từ tháng 8/2004, HDH Windows XP Service Pack 2 của Microsoft đã có chức năng bảo mật, không cho phép virus hay sâu độc hại lây lan trong toàn mạng doanh nghiệp.

 

Tuy nhiên, những tin tặc viết Trojan Coreflood đã “vượt rào” được nhờ chương trình PsExec của chính Microsoft. Phần mềm này giúp các quản trị mạng chạy phần mềm hợp pháp trên tất cả máy tính nối mạng công ty.

 

Do đó, khi đã chiếm quyền kiểm soát một máy tính trong hệ thống mạng bằng cách lừa người dùng download một chương trình, thì Trojan sẽ nhanh chóng lây lan khắp mạng nếu quản trị mạng đăng nhập vào máy tính đã bị nhiễm virus để bảo dưỡng định kỳ hàng ngày.

 

16  tháng qua, Coreflood đã lây lan trên hơn 378.000 máy tính, trong đó có rất nhiều máy tính của các công ty tài chính, bệnh việt, công ty luật và thậm chí là một cơ quan cảnh sát của Mỹ.

 

Cách đây 5 năm, các chương trình độc hại đã lợi dụng phần mềm PsExec nhưng đây là lần đầu tiên hacker khai thác để ăn cắp mật khẩu và lây lan trên diện rộng. Coreflood, còn được gọi là Trojan AFcore, đã xuất hiện 6 năm trước đây. Nó từng được dùng để thực hiện các cuộc tấn công từ chối dịch vụ DoS chứ không phải là ăn cắp mật khẩu như hiện nay.

 

T.Vũ

Theo TechWorld