20/12/2017

Virus đào tiền ảo dưới dạng file zip đang lây lan chóng mặt qua Facebook Messenger ở Việt Nam

Một loại virus mới đang lây lan nhanh chóng qua Facebook Messenger, biến máy tính của nhiều người dùng tại Việt Nam thành công cụ đào tiền ảo.

Virus phát tán qua Facebook Messenger không phải là một hình thức mới nhưng lại đánh đúng vào tâm lý tò mò của người dùng Việt. Đầu tiên, một người bạn có trong danh sách bạn bè (friend list) sẽ gửi cho bạn một file nén zip (có tên dạng "video_" + 4 số ngẫu nhiên) qua Facebook Messenger.

Người nhận khi mở file này sẽ thấy một file video giả mạo bên trong. Nếu mở tiếp file giả mạo, máy tính sẽ bị nhiễm mã độc. Nếu máy tính nạn nhân dùng trình duyệt Google Chrome, mã độc sẽ cài một extension để tiếp tục phát tán file zip qua Facebook Messenger tới danh sách bạn bè của nạn nhân.


Theo ông Vũ Ngọc Sơn - Phó chủ tịch phụ trách mảng Chống mã độc – Anti Malware của Bkav, virus này hiện chỉ lây lan qua trình duyệt Chrome. Mục đích phát tán của mã độc là nhằm chiếm quyền điều khiển của máy tính, đồng thời lợi dụng máy tính để đào tiền ảo, khiến cho máy tính của nạn nhân luôn trong tình trạng giật lag và gần như không thể sử dụng được.

Chuyên gia Bkav nhận định, nguy hiểm nhất của loại virus mới phát tán qua Facebook Messenger là ở chỗ với cách thức phát tán mã độc này, các đối tượng xấu có thể có danh sách bạn bè của rất nhiều người để tiếp tục spam, phát tán tin nhắn lừa đảo, link có mã độc....

Bkav cũng khuyến cáo người dùng nên ngay lập tức đổi mật khẩu cho tài khoản đăng nhập trên trình duyệt của mình nếu đã lỡ mở file nén đính kèm. Bên cạnh đó, để không trở thành nạn nhân, người dùng cần cảnh giác khi nhận được file gửi qua Facebook Messenger, cần xác nhận lại với người gửi để chắc chắn đó là file được gửi cho mình. Trong trường hợp muốn mở file, tốt nhất cần mở trong môi trường cách ly an toàn (Safe Run) để tránh bị nhiễm mã độc.

Hiện Bkav đã cập nhật mẫu nhận diện mã độc này với tên là W32.FBCoinMiner.Worm, người dùng có thể tải phần mềm Bkav phiên bản mới nhất để diệt virus. Riêng khách hàng sử dụng phiên bản Bkav Pro có bản quyền sẽ được tự động cập nhật.

Theo BKAV

19/12/2017

Trình quản lý mật khẩu trên Windows 10 dính lỗ hổng bảo mật do dùng plugin của bên thứ 3

Có một lý do mà nhiều nhà phân tích an ninh lo lắng về các gói phần mềm bên thứ ba: đó chính là việc nó có các lỗ hổng mà chính những công ty này không thể kiểm soát.

Và đáng buồn rằng, Microsoft vừa phạm phải điều này. Một nhà nghiên cứu tại Google có tên là Tavis Ormandy đã khám phá ra rằng bộ cài Windows 10 có đi kèm một trình quản lý mật khẩu bên thứ ba. Đó chính là Keeper, và nó có một lỗ hổng trên plugin trình duyệt, khiến cho các trang web độc hại có thể lấy trộm mật khẩu.
Phiên bản mà Ormandy có được là bản cài đặt trên MSDN dành cho các nhà phát triển, nhưng những người dùng trên Reddit cũng đã lưu ý rằng họ cũng nhận được phiên bản có lỗ hổng Keeper này sau khi cài đặt lại hệ điều hành bằng cách thông thường, hay thậm chí là một chiếc laptop mới.
Đại diện của Microsoft cho Ars Technica biết rằng nhóm Keeper đã tung ra bán vá lỗ hổng này. Vì thế, nếu bạn cập nhật lên bản mới nhất thì không phải lo. Nếu không, bạn chỉ sẽ bị ảnh hưởng nếu bạn kích hoạt plugin này.
Tuy nhiên, điều này lại dấy lên một mối lo lắng: Liệu rằng những bài thử nghiệm bảo mật của Microsoft dành cho các ứng dụng bên thứ ba có kỹ lưỡng như những phần mềm của riêng họ? Gã khổng lồ phần mềm này từ chối bình luật, nhưng câu trả lời này rất quan trọng đối với việc duy trì sự tin tưởng của người dùng với Windows.
Dịch vnreview - Theo THN

07/12/2017

Teamviewer đang có 1 lỗ hổng cực nghiêm trọng, cập nhật ngay bản vá mới nhất nếu không muốn thành nạn nhân!

Teamviewer đang có 1 lỗ hổng cực nghiêm trọng, cập nhật ngay bản vá mới nhất nếu không muốn thành nạn nhân!

Đối với rất nhiều người thì TeamViewer là một phần mềm vô cùng quen thuộc trong máy, để điều khiển máy tính ở nhà từ chỗ làm, hay để nhờ người khác giúp khắc phục những vấn đề về phần mềm trong máy tính.

Tuy nhiên, nếu bạn là người đang sử dụng TeamViewer và đã lâu chưa cập nhật phần mềm này trong máy tính của mình, thì làm điều này luôn đi, bởi lẽ mới đây, đã có một lỗ hổng bảo mật của TeamViewer được phát hiện ra (Lỗ hổng này xuất hiện trên các phiên bản TeamViewer của cả ba hệ điều hành Windows, Mac và Linux). Bình thường, khi sử dụng TeamViewer, người gửi sẽ gửi hình ảnh từ máy tính của mình tới cho người nhận, và người nhận sẽ có thể thực hiện các thao tác trên máy người gửi từ khoảng cách rất xa thông qua mạng Internet. Nhưng với lỗ hổng này, người gửi cũng có thể thực hiện chiếm quyền sử dụng ở máy tính người nhận mà không cần sự cho phép. Lỗ hổng nói trên được công bố bởi một thành viên của GitHub với nickname "Gellin".

Bên cạnh đó, Gellin còn công bố mã PoC (proof-of-concept) kèm theo lỗ hổng này, là một file C++ DLL, cho phép trực tiếp thay đổi bộ nhớ để sửa đổi quyền sử dụng của TeamViewer. File DLL này có thể được nhúng trực tiếp vào phần mềm, và cả người gửi lẫn người nhận đều có thể sử dụng chúng:

Nếu được dùng bởi người gửi, lỗ hổng này cho phép người gửi và người nhận "đổi chỗ" cho nhau. Điều này đồng nghĩa với việc khi đó, người gửi có thể chiếm quyền sử dụng ở máy người nhận mà không cần được cho phép.
Trong khi đó, nếu người nhận sử dụng DLL này, họ sẽ có thể chiếm toàn quyền sử dụng máy tính của người gửi, thay vì cả hai đều có thể điều khiển chuột và bàn phím như trước.

Lỗ hổng này xuất hiện trên các phiên bản TeamViewer của hệ điều hành Windows, Mac và Linux.

Thành viên "xpl0yt" đến từ Reddit, người đầu tiên phát hiện ra lỗ hỗng này cho biết, anh đã liên hệ với bộ phận bảo mật của TeamViewer. Sau khi kiểm tra, bộ phận bảo mật thừa nhận sự tồn tại của lỗ hổng, và đưa ra bản cập nhật vá lỗi cho hệ điều hành Windows.

Phát ngôn viên của TeamViewer cho biết: "Chúng tôi đã tiến hành cập nhật bản vá cho TeamViewer phiên bản 11-13. Người dùng Windows nay đã có thể tải bản vá này về máy tính của mình. Bản cập nhật cho hệ điều hành Mac và Linux cũng sẽ sớm được tung ra."

Những người sử dụng TeamViewer được khuyến cáo cập nhật phần mềm càng sớm càng tốt. Bản cập nhật này sẽ được tự động tải về nếu như bạn đã bật tính năng Auto Update trong cài đặt.

Tham khảo The Hacker News

Mất tiền trong tài khoản, người dùng nghi ví MoMo bị hack

Nhiều người dùng ví điện tử MoMo đã mất hàng triệu đồng trong tài khoản có liên kết với thẻ ngân hàng. Kẻ gian có thể đã hack tài khoản để thực hiện các giao dịch bất chính.

Hơn hai tuần qua, một số người dùng ví MoMo tại Việt Nam phản ánh tình trạng bị mất tiền trong tài khoản, nhưng chưa được giải quyết. Trong khi đó, nguồn tin từ một ngân hàng quốc tế ở Việt Nam cho biết nhận nhiều khiếu nại liên quan đến ví điện tử này trong dịp Black Friday.


Trao đổi với Zing.vn, anh Hữu Tiến, một người dùng tại Huế, cho biết vừa bị mất 2,5 triệu đồng trong ngày 1/12. Chuyện bắt đầu khi anh Tiến đăng nhập vào số tài khoản MoMo 0934***994 để nạp tiền điện thoại nhưng quên mật khẩu. Anh Tiến gọi đến tổng đài 1900545441 của MoMo để nhờ hỗ trợ nhưng đường dây báo bận.

Khoảng 20 phút sau, có một số điện thoại khác gọi vào máy của anh Tiến, người này tự xưng là nhân viên tư vấn của tổng đài MoMo, nhận "giúp đỡ" lấy lại mật khẩu và yêu cầu anh Tiến đọc mã OTP gửi qua tin nhắn điện thoại. Ngay sau khi cung cấp mã OTP này, anh Tiến phát hiện tài khoản của mình đã bị trừ 2,5 triệu đồng.

"Tài khoản MoMo của mình có liên kết thẻ Vietcombank. Lúc đó, trong ví MoMo chỉ còn vài trăm nghìn, nhưng trong thẻ ngân hàng còn 50,7 triệu đồng. Khi nhận ra kẻ gian đang liên tục mua thẻ cào điện thoại mệnh giá 500.000 đồng, mình đã nhanh tay chuyển 47,9 triệu đồng vào tài khoản khác", anh Tiến kể lại.

Sau khi vụ việc diễn ra, anh Tiến đã gửi email khiếu nại đến MoMo trình bày sự việc, và nhận được phản hồi rằng đã ghi nhận trường hợp này và có thông tin từ ngân hàng. "Chúng tôi sẽ hợp tác với ngân hàng và cơ quan chức năng khi có yêu cầu hỗ trợ. Quý khách vui lòng trình báo công an để được hỗ trợ một cách tốt nhất", trích nội dung email phản hồi từ MoMo.

Tính đến ngày 6/12, anh Tiến vẫn không nhận được hỗ trợ nào từ đại diện của MoMo. "Gọi lên tổng đài thường xuyên báo bận, nhắn tin qua Facebook không ai trả lời", anh Tiến cho biết.

Còn khách hàng Song Chân ở TP.HCM cho biết mình bị kẻ gian tiêu tiền trong thẻ tín dụng bằng cách điền dãy số số thẻ vào một ví MoMo khác (không phải của anh Chân).

"Khi phát hiện tài khoản bị trừ tiền vào lúc 13h35 ngày 25/11, tôi lập tức gọi đến ngân hàng để khiếu nại. Nhân viên nói giao dịch của tôi đã thực hiện thành công vào một ví MoMo. Số tiền vẫn đang treo, nếu muốn có mã giao dịch phải đợi ví điện tử đó xác nhận chuẩn chi", anh Song Chân cho biết.

Trên trang giới thiệu dịch vụ MoMo nêu rõ có hai loại ví đã định danh hoặc không định danh. Riêng loại ví định danh được phép chi tiêu tối đa 5 triệu/ngày. Trong trường hợp của anh Chân, khách hàng này cho biết có thể số thẻ của mình (bị lộ theo cách nào đó) đã được điền vào một ví không định danh và tiêu tiền. Điểm bất ổn là giao dịch đang treo nhưng kẻ xấu vẫn được "ứng trước" số tiền này.

Trao đổi với Zing.vn qua điện thoại, ông Nguyễn Bá Diệp, Phó chủ tịch hội đồng quản trị M-Services, công ty chủ quản của MoMo từ chối phát ngôn trực tiếp về vụ việc. Vị này không phủ nhận, cũng không thừa nhận có hay không việc khách hàng MoMo bị mất tiền trong tài khoản. Ông Diệp hẹn trả lời qua email khi có thông tin cụ thể.

"Có hai trường hợp dẫn đến việc tài khoản khách hàng bị mất tiền là nhập thẻ vào những trang mua sắm không uy tín, thứ hai là lộ thông tin thẻ. Khách hàng cần có biện pháp ngăn chặn ngay lập tức để hạn chế mất mát bằng cách khóa thẻ", anh Lý Trường - nhân viên một ngân hàng quốc tế ở TP.HCM - cho biết.

Theo anh Trường, điểm chung của các trường hợp mất tiền gần đây liên quan đến ngân hàng trên đều tiêu vào ví MoMo. "Không loại trừ trường hợp bảo mật của ví điện tử này đang gặp vấn đề", anh Trường nhận định.

MoMo là dịch vụ ví điện tử (e-wallet) ra mắt năm 2014, thuộc sở hữu của Công ty Cổ phần Dịch vụ Di động Trực tuyến M-Services. Khi dùng MoMo, người dùng có thể liên kết các thẻ tín dụng như VISA, MasterCard lẫn thẻ nội địa để thanh toán điện, nước, Internet và nhiều dịch vụ khác.

Theo: Zing

Công ty đào Bitcoin bị hacker tấn công và đánh cắp 4.736 Bitcoin, nhiều thợ mỏ trắng tay

4.736 Bitcoin trị giá hơn 63 triệu USD đã bị lấy mất.

Theo báo cáo của Business Insider, công ty cung cấp dịch vụ đào Bitcoin NiceHash đã bị hacker tấn công và đánh cắp toàn bộ số Bitcoin có trong ví cryptocurrency. Mặc dù không công bố chính xác số tiền bị hacker đánh cắp, nhưng một số khách hàng lớn của công ty nhận định khoảng 4.736 Bitcoin trị giá hơn 63 triệu USD đã bị lấy mất.

NiceHash là một công ty chuyên về cryptocurrency, cung cấp dịch vụ đào Bitcoin. Nó cho phép tất cả mọi người sử dụng những hệ thống máy tính của mình để tham gia vào hệ thống đào Bitcoin của NiceHash và sau đó sẽ được trả công.

Thông thường những người đào Bitcoin sẽ phải đầu tư một hệ thống “trâu cày” đắt tiền, với số lượng lớn để đạt hiệu quả cao. NiceHash cho phép tất cả mọi người tham gia vào mạng lưới blockchain vẫn có thể đào Bitcoin, dù cho chỉ có một chiếc máy tính cá nhân.

Bên cạnh đó, NiceHash cũng cung cấp dịch vụ cho phép các doanh nghiệp và cá nhân có thể thuê sức mạnh xử lý tùy vào mục đích của mình. NiceHash sẽ trả công cho những người tham gia hệ thống của mình bằng một đồng altcoin, lưu trữ trên ví crytocurrency của NiceHash, sau đó các thợ mỏ có thể chuyến đồng altcoin này thành Bitcoin.

Đặc tính của crytocurrency và Bitcoin là ẩn danh, do đó mặc dù có thể tìm thấy thông tin chuyển số Bitcoin bị đánh cắp, nhưng không có cách nào xác định danh tính của những hacker này. NiceHash cho biết họ đang phối hợp với các cơ quan pháp lý để bắt đầu điều tra.

Trong khi đó, rất nhiều thợ mỏ tham gia vào hệ thống của NiceHash đã mất toàn bộ số tiền của mình. NiceHash cũng chưa cho biết họ sẽ có kế hoạch đền bù như thế nào.

Đây cũng không phải vụ hacker tấn công và đánh cắp Bitcoin đầu tiên. Chỉ mới tháng trước, công ty phát hành ví điện tử lưu trữ cryptocurrency Parity đã bị hacker tấn công và xóa đi những đoạn mã cần thiết để truy cập vào các ví điện tử của khách hàng. Cuộc tấn công này đã khiến cho 162 triệu USD mãi mãi biến mất.

Những sự việc vừa qua cũng là lời cảnh báo khi mà Bitcoin và Cryptocurrency ngày càng có giá trị, chúng sẽ trở thành mục tiêu mới của các hacker. Và điều quan trọng là khi đánh cắp tiền mã hóa, rất khó để có thể tìm ra danh tính của những kẻ tấn công.

Theo: Business Insider

30/11/2017

Microsoft Edge sắp có tính năng tự chuyển chế độ duyệt web khi xem phim đen

Đây chính xác là một trong những tính năng rất đáng chờ đợi trên trình duyệt Microsoft Edge trong thời gian tới.

Theo Softpedia, bằng sáng chế mới của Microsoft vừa hé lộ một tính năng thông minh trên trình duyệt Microsoft Edge. Tính năng này cho phép tự chuyển đổi giữa chế độ duyệt web thông thường và ẩn danh.

Với chế độ duyệt web ẩn danh, lịch sử duyệt web sẽ không bị thu thập và ghi lại như thông thường. Cũng bởi vậy, đây luôn là chế độ ưa thích của những người muốn truy cập vào một số trang web chuyên biệt, ví dụ trang web phim người lớn.

Microsoft giải thích, tính năng này sẽ giúp Microsoft Edge tự chuyển sang chế độ duyệt web riêng tư khi phát hiện trang web đang truy cập chứa nội dung đặc biệt mà người dùng không muốn bị ghi lại, ví dụ như trang phim người lớn hoặc email công việc.
Trước nay khi truy cập vào các trang web với chế độ ẩn danh, người dùng thường phải tự kích hoạt bằng phím tắt hoặc tùy chọn riêng. Tuy nhiên với tính năng này, người dùng sẽ không cần phải tự tay chuyển đổi chế độ duyệt web như trước kia.

Mặc dù vậy, hiện chưa rõ Microsoft sẽ làm cách nào để xác định liệu trang web mà người dùng đang truy cập có cần thiết phải chuyển sang chế độ riêng tư hay không.

Tất nhiên, bằng sáng chế chưa bao giờ là "tấm thẻ thông hành" chắc chắn cho mỗi tính năng có thể tới tay công chúng.

Microsoft Edge dự kiến sẽ nhận loạt cải tiến trong bản cập nhật Windows 10 Redstone 4 sắp tới. Từ nay tới khi Microsoft tung ra tính năng trên có lẽ là điều chưa ai đoán được.

Dịch vnreview - Theo Softpedia

26/11/2017

USB "không bị virus" của quân đội Việt Nam đã được thương mại hóa, bản 8GB giá 880 ngàn đồng

Sau 6 năm nghiên cứu và phát triển, ổ USB an toàn thông tin (VS-KEY) do nhóm tác giả thuộc Viện Điện tử (Viện Khoa học và Công nghệ quân sự - Bộ Quốc phòng) đã chính thức được bán ra thị trường.

Từ trước đến nay, USB được biết đến như là một công cụ hữu dụng trong việc lưu trữ và sao chép dữ liệu, nhưng mặt khác nó cũng có thể là nguyên nhân làm lây lan, phát tán mã độc từ các máy tính, đe dọa đến sự an toàn, bảo mật của dữ liệu trong chính chiếc USB, cũng như các dữ liệu khác trong máy tính có sử dụng USB.

Theo thống kê của Bkav, số lượng máy tính bị nhiễm virus tại Việt Nam trong quý III/2017 vẫn ở mức rất cao, lên tới 15 triệu lượt máy. Trong đó, con đường lây nhiễm virus chính vẫn là qua USB, chiếm tới hơn 50%.

Để giải quyết bài toán này, nhóm tác giả đến từ phòng Nghiên cứu vũ khí điện từ trường thuộc Viện Điện tử (Viện Khoa học và Công nghệ quân sự - Bộ Quốc phòng) đã nghiên cứu – chế tạo loại USB an toàn VS-KEY.

Đặc điểm kỹ thuật nổi bật của VS-KEY là không bị lây nhiễm Virus, Spyware, Worm, Troijan House… khi sử dụng USB để sao lưu dữ liệu giữa các máy vi tính; chống truy cập trái phép lấy cắp thông tin bởi các chương trình gián điệp (Spyware) từ USB vào máy vi tính và ngược lại; chương trình thực hiện mã hóa tự động khi lưu dữ liệu từ máy vi tính vào USB an toàn và giải mã tự động khi copy từ USB an toàn sang máy vi tính, quá trình mã hóa và giải mã dữ liệu sử dụng thuật toán mã hóa AES 256; mật khẩu người dùng được mã hóa (SHA-2) và lưu trữ ngay trên USB, nếu nhập sai mật khẩu 10 lần, USB sẽ bị khóa; phần mềm quản lý USB với giao diện tiếng Việt dễ sử dụng, cho phép chạy từ CDROM ảo, không cần cài đặt driver.

USB an toàn thông tin này có dung lượng 8GB và cấu tạo tương tự USB thông thường, sử dụng thiết kế vỏ kim loại hoặc nhựa tùy theo yêu cầu thực tế của người dùng. VS-KEY có kích thước 60 x 20 x 8 mm và nặng 20g. USB này tương thích với mọi hệ điều hành Windows, sử dụng chuẩn giao tiếp USB 2.0/3.0, cho tốc độ đọc 25 MB/s và ghi 10 MB/s.

Thượng tá, TS Trần Xuân Kiên, chủ nhiệm dự án USB an toàn cho hay VS-KEY đã được cấu trúc lại để bảo vệ dữ liệu thông qua các giải pháp cả về phần cứng và phần mềm. Phần cứng được thiết kế và sản xuất ở trong nước, tự làm chương trình điều khiển thiết bị và nạp vào mạch IC, từ đó đảm bảo VS-KEY không bị cài đặt và xâm nhập dữ liệu trái phép, kể cả backdoor.

Lý giải về nguyên lý bảo mật của sản phẩm, TS Kiên cho biết về cơ bản thì chiếc USB flash này được chia làm 03 phân vùng: phân vùng 01 được cấu trúc thành CDROM ảo (read-only) chứa phần mềm quản lý chuyên dụng; phân vùng 02 chứa mật khẩu bảo mật; và phân vùng 03 có định dạng phi chuẩn lưu trữ dữ liệu.

Khi cắm USB này vào máy tính, thì hệ điều hành, ví dụ Windows sẽ tự động nhận được phần phân vùng 01 và tự động chạy chương trình quản lý chuyên dụng. Trước khi sử dụng để đọc/ghi dữ liệu cần nhập mật khẩu người dùng, phần mềm chỉ cho phép tiếp tục khi xác thực mật khẩu người dùng đúng, khi đó phần mềm sẽ truy xuất vào vùng 02 chứa mật khẩu bảo mật để lấy mã khóa truy nhập đồng thời nhận dạng được hệ thống tệp tin (file) lưu trong phân vùng 03 có định dạng phi chuẩn, phân vùng này sẽ ẩn trong hệ điều hành hay nói cách khác là hệ điều hành không truy cập được dữ liệu.

Trong những năm gần đây, sản phẩm USB an toàn thông tin đã được sử dụng thử nghiệm tại một số đơn vị thuộc Quân chủng Hải quân, Tổng cục Kỹ thuật; Tổng cục Công nghiệp quốc phòng; Binh chủng Thông tin liên lạc... Qua thử nghiệm cho thấy USB hoạt động ổn định, giao diện thân thiện, thuận tiện cho người dùng, tốc độ mã hoá và giải mã khi copy đảm bảo, chống được sự lây nhiễm virus và các phần mềm dò tìm mật khẩu.

Đến nay nhóm tác giả đã hợp tác với công ty Công ty CP giải pháp mạng và máy tính TIC để thương mại hóa sản phẩm VS-KEY. Hiện 1000 chiếc USB an toàn này đã được đặt mua thông qua website của TIC, giá mỗi chiếc là 880.000 đồng. Nhóm tác giả đã cùng đơn vị phân phối tiếp nhận những góp ý, phản hồi từ người sử dụng để ngày càng hoàn thiện sản phẩm, đem lại nhiều tiện ích hơn nữa cho người sử dụng.

Nguồn: Internet

23/11/2017

Sau khi bị tấn công rò rỉ dữ liệu, Uber trả cho hacker 100,000 USD để giữ bí mật

UBer thông báo đã xả ra một vụ rò rỉ dữ liệu khổng lồ vào tháng 10/2016 bao gồm tên, địa chỉ email và số điện thoại của 57 triệu tài xế cùng với khoảng 600,000 bằng lái xe.

Tuy nhiên, thay vì công bố, Uber đã tiến hành chi trả 100,000 USD tiền chuộc cho tin tặc nhằm giữ kín vụ việc và xóa dữ liệu bị rò rỉ.

Uber cho biết không phải do hệ thống của họ chứa lỗ hổng, mà do 2 đơn vị công ty thành viên đã truy cập trái phép và tải về dữ liệu của tài xế. Hơn 600,000 dữ liệu giấy phép lái xe tại Mỹ và các thông tin của 57 triệu tài xếtrên toàn cầu đã bị rò rỉ.

Tuy nhiên, Uber khẳng định các thông tin cá nhân khác như lịch sử địa điểm, thẻ tin dụng, tài khoản ngân hàng, số chứng minh thư, ngày sinh đều không bị tấn công. Uber đã chi trả cho tin tặc nhằm giấu kín thông tin mà không hề thừa nhận sai lầm của mình. Công ty mới chỉ tiến hành thông báo tới Ủy ban thương mại Liên bang (FTC) vào thứ ba, sau khi vụ việc được tờ báo Bloomberg đưa ra ảnh sáng.

Theo đó, Uber CEO Dara Khosrowshahi được cáo buộc đã yêu cầu giám đốc bảo mật Joe Sulliva và người đại diện Craig Clark giữ kín vụ việc. Uber hiện đang tiếp tục thông báo vụ việc với nhà chức trách, đồng thời cung cấp cho các tài xế bị ảnh hưởng dịch vụ giám sát, bảo vệ thẻ tín dụng miễn phí.

Dịch: SecurityDaily - Theo: THN

21/11/2017

Mã độc ngân hàng trang bị thêm khả năng đánh cắp tài khoản Facebook, Twitter và Gmail

Các chuyên gia bảo mật mới phát hiện ra một loại mã độc thức phức tạp có nền tảng từ mã độc ngân hàng Zues, nhưng bổ sung khả năng đánh cắp thông tin tài khoản Facebook, Twitter và Gmail.

Mã độc Terdot là loại banking Trojan được phát triển vào giữa năm 2016 với mục đích ban đầu là thực hiện cuộc tấn công trung gian, nghe lén thông tin duyệt web của người dùng như thẻ tin dụng, thông tin đăng nhập và đưa những đoạn HTML độc hại vào trang người dùng truy cập.

Tuy nhiên mới đây các nhà nghiên cứu từ công ty Bitdefender đã phát hiện ra Terdot được bổ sung tính năng mới trong các chiến dịch tấn công có chủ đích. Terdot lợi dụng các công cụ mã nguồn mở để giả mạo chứng chỉ số SLL nhằm chiếm quyền truy cập vào các tài khoản mạng xã hội và email, thậm chí mạo danh người dùng bị lây nhiễm.
Terdot banking trojan can thiệp vào lưu lượng Internet trên máy tính của người dùng. Bên cạnh đó, một vài biến thể còn có thể tải và thực thi tệp tin tùy ý tin tặc. Terdot đã được sử dụng nhằm tấn công có chủ đích vào ngân hàng và các công ty tài chính lớn tại Canada. Đối tượng tài khoản mạng xã hội mà Terdot nhắm tới bao gồm Facebook, Twitter, Google Plus và Youtube; các dịch vụ email bao gồm Gmail, live.com và Yahoo Mail.

Mã độc Terdot được phát tán thông qua các website chứa SunDown Exploit Kit, và gần đây nhất là các thư điện tử giả mạo tệp tin đính kèm PDF. Nếu người dùng nhấn vào,  tệp tin giả mạo sẽ thực thi đoạn JavaScript tải và thực thi mã độc. Terdot lây nhiễm vào tiến trình của trình duyệt nhằm điều hướng kết nối trực tiếp đến web proxy, đọc lưu lượng và đánh cắp thông tin.

Chi tiết kĩ thuật được đăng tải tại đây.

Dịch Securitydaily - Theo THN

20/11/2017

Nghiên cứu của Nokia: iPhone hiếm khi là mục tiêu của mã độc

Đứng đầu các nền tảng dễ bị tấn công và lây nhiễm mã độc theo nghiên cứu của Nokia vẫn là Android trong khi đó, nền tảng iOS của Apple được khẳng định vẫn rất an toàn và hiếm khi bị mã độc tấn công.

Theo Softpedia, Nokia vừa công bố kết quả nghiên cứu bảo mật Threat Intelligence Report. Báo cáo này nhằm phân tích các nền tảng dễ bị mã độc tấn công nhất.
Kết quả cho thấy, Android hiện vẫn là nền tảng di động dễ bị tấn công nhất với 68,5% mã độc nhắm tới hệ điều hành này. Windows đứng ở vị trí thứ hai với 27,96%, trong khi 3,54% còn lại thuộc về các nền tảng khác, trong đó có iOS. Đây là những số liệu thống kê cho thấy mức độ bảo mật khá tốt của nền tảng iOS nói chung và iPhone nói riêng.
Ứng dụng lây nhiễm mã độc vẫn tồn tại trên cửa hàng Google Play Store
Android là nền tảng ưa thích của mã độc và rõ ràng, side-load ứng dụng (cài ứng dụng không rõ nguồn gốc) luôn là cách hiệu quả nhất để tin tặc vượt qua bức tường bảo mật và tấn công người dùng.

Trong nghiên cứu, Nokia lý giải nguyên nhân dẫn tới nền tảng Android bị tấn công:
"Lý do chính khiến nền tảng Android trở thành mục tiêu, đó là bởi các ứng dụng Android có thể tải về từ mọi nơi. Bất chấp những nỗ lực của Google trong việc đảm bảo an toàn cho Play Store tránh khỏi mã độc, người dùng Android vẫn tiếp tục cài đặt ứng dụng thông qua các đường link liên kết trong tin nhắn văn bản hoặc email. Ngoài ra, các kho ứng dụng bên thứ ba giờ đây trở thành nơi tải ứng dụng phổ biến".

Mặc dù các ứng dụng xuất bản trên Google Play Store được yêu cầu phải sạch 100% nhưng đôi khi, các mã độc bằng cách nào đó vẫn có thể lẩn khuất trong các ứng dụng không rõ ràng. Và người dùng sẽ vô tình tải về mà không hề hay biết nguy cơ bị tấn công.
Công ty an ninh mạng ESET gần đây cũng đưa ra cảnh báo, có ít nhất 8 ứng dụng Android đã bị lây nhiễm loại mã độc multi-stage trên kho ứng dụng Google Play Store. Hiện tại đã có ít nhất vài trăm lượt tải về các ứng dụng trước khi bị Google phát hiện và xóa khỏi kho ứng dụng.

Nguồn: Internet

14/11/2017

Vault 8: WikiLeaks tiết lộ mã nguồn của Hive - Hệ thống kiểm soát malware của CIA

Ngày 9/11, WikiLeaks đã công bố một loạt tài liệu mới về Vault 8 bao gồm các mã nguồn và thông tin về cơ sở hạ tầng backend do các hacker của CIA phát triển.

Đồng thời tổ chức này công bố mã nguồn và log phát triển của dự án Hive - một backend quan trọng mà CIA sử dụng để quản lý từ xa malware (phần mềm độc hại) bí mật của mình.

Vào tháng 4 năm nay, WikiLeaks đã tiết lộ sơ bộ Dự án này. Hive là một máy chủ C&C (hệ thống kiểm soát malware) kết nối với malware để gửi lệnh thực thi nhiệm vụ cụ thể trên mục tiêu và nhận thông tin rò rỉ từ các máy bị tấn công.

Đây là một hệ thống all-in-one đa người dùng mà CIA có thể sử dụng để điều khiển từ xa việc cài cắm malware trong các hoạt động khác nhau.

Cơ sở hạ tầng của Hive được thiết kế đặc biệt để ngăn chặn việc phát hiện nguồn gốc tấn công, bao gồm một trang web giả mạo theo nhiều bước kết nối qua mạng VPN.

WikiLeaks cho biết ngay cả khi phát hiện được việc cài cắm malware trên một máy tính, rất khó để xác định nó có liên quan đến CIA nếu chỉ nhìn vào kết nối của malware với các máy chủ khác trên internet.

Trong sơ đồ minh họa, malware được cài trực tiếp kết nối với một trang web giả mạo, chạy trên VPS (Virtual Private Server) thương mại, mà bề ngoài có vẻ vô hại khi mở trực tiếp ở trình duyệt web.

Tuy nhiên, sau khi xác thực, malware được cài vào có thể kết nối với máy chủ web (lưu trữ trang web giả mạo), và chuyển tiếp lưu lượng truy cập có liên quan với malware đến một máy chủ của CIA "ẩn" có tên là 'Blot' qua một kết nối VPN an toàn.

Máy chủ Blot sau đó chuyển tiếp lưu lượng truy cập tới cổng quản lý điều khiển việc cài malware gọi là 'Honeycomb'.

Để tránh sự phát hiện của các quản trị, chứng chỉ số giả mạo của Kaspersky Lab đã được dùng.
Theo WikiLeaks, "Chứng chỉ số cho việc chứng thực cài cắm được tạo ra bởi các cơ quan giả mạo CIA".

"Có 3 ví dụ chỉ ra mã nguồn để phát triển một chứng chỉ giả mạo của công ty an ninh mạng Kaspersky Laboratory, Moscow và được ký bởi Thawte Premium Server CA, Cape Town ".
Mã nguồn của dự án Hive đã được công khai để bất cứ chuyên gia và nhà báo nào cũng có thể tải về và tìm hiểu các chức năng của nó.


Dịch WH - Theo THN

09/11/2017

280 triệu USD (6.3 nghìn tỉ VND) trong Ethereum vô tình bị khóa vĩnh viễn

Một khoản tiền trị giá gần 300 triệu USD của Ether – một trong những đơn vị tiền ảo phổ biến và có giá trị gia tăng nhất - từ hàng chục ví điện tử Ethereum đã bị khóa vĩnh viễn.

Parity Technologies, công ty đứng sau ví điện tử Ethereum Parity Wallet nổi tiếng, công bố ngày 6/11 ví điện tử “đa chữ ký” được tạo ra sau ngày 20/7 tồn tại một lỗ hổng nghiêm trọng khiến người dùng không thể chuyển tiền ra khỏi ví.

Theo Parity, lỗ hổng này được kích hoạt bởi một người sử dụng GitHub thông thường, có tên "devops199". Người này đã vô tình xóa mã thư viện quan trọng khỏi mã nguồn, biến tất cả các hợp đồng đa chữ ký thành địa chỉ ví điện tử thông thường và tạo người sử dụng thành người sở hữu nó.
Devops199 sau đó đã “vô hiệu” hợp đồng ví điện tử này, khiến tất cả các ví điện tử đa chữ ký Parity gắn liền với hợp đồng đó ngay lập tức vô giá trị, và do đó tiền của họ bị khóa mà không có cách nào để truy cập được.

Ví điện tử đa chữ ký Parity cũng từng gặp một lỗ hổng hồi tháng 7, cho phép một hacker vô danh đánh cắp gần 32 triệu USD (khoảng 153.000 đơn vị của Ether) trước khi cộng đồng Ethereum kịp bảo vệ phần còn lại của Ether.

Theo Parity, một phiên bản mới của hợp đồng thư viện Parity Wallet được triển khai vào ngày 20/7 chứa một bản sửa lỗi xử lý lỗ hổng đa chứ ký đã bị khai thác trước đó, nhưng mã "vẫn tồn tại một vấn đề khác", cho phép chuyển hợp đồng thư viện Parity Wallet thành một ví điện tử thông thường.
Lỗ hổng ảnh hưởng tới ví điện tử đa chữ ký của Parity đã bị kích hoạt sau ngày 20/7 - có nghĩa là ICOs (các khoản tiền ban đầu) từ đó trở đi có thể bị ảnh hưởng.

Cho đến nay, chưa rõ chính xác có bao nhiêu tiền ảo đã biến mất do sai lầm này, nhưng theo một số bài blog về tiền ảo cho biết ví điện tử Parity chiếm đến khoảng 20% của toàn bộ mạng Ethereum.
Các nhà nghiên cứu ước tính khoảng 280 triệu USD hiện tại đã không thể truy cập được, trong đó gồm 90 triệu USD (2 nghìn tỉ VND) của nhà sáng lập công ty, ông Gavin Woods.

Parity đã đóng băng tất cả các ví điện tử đa chữ ký bị ảnh hưởng (có nghĩa là hàng triệu đô la tài sản dựa trên Ethereum) khi nhóm của họ đang vật lộn để tăng cường an ninh. Nhóm nghiên cứu cũng hứa sẽ phát hành bản cập nhật trong thời gian ngắn.

Nguồn: The Hacker News​

07/11/2017

Mã độc Qakbot và Emotet nhắm mục tiêu vào người dùng doanh nghiệp.

Trojan đánh cắp thông tin Qakbot và Emotet đã hoạt động trở lại trong vài tháng qua và đang nhắm mục tiêu đến các doanh nghiệp và nhiều tổ chức khác.

Với hành vi tương tự nhau, hai dòng mã độc này thường tập trung vào các cá nhân sử dụng ngân hàng trực tuyến, nhưng kẻ khai thác dường như đang quan tâm đến các luồng doanh thu mới. Họ đã mở rộng khả năng lây lan của Trojan để tăng cơ hội lây nhiễm trong các mạng công ty.

Sau nhiều năm, tác giả của Qakbot và Emotet tập trung vào cải tiến mã để tránh bị phát hiện, nằm vùng lâu hơn và tăng cơ hội lây lan sang các nạn nhân tiềm năng khác. Theo Microsoft, hai dòng mã độc này có nhiều điểm tương đồng.

Cả hai Trojan sử dụng dropper để lây nhiễm (một số biến thể Quakbot gần đây được lan truyền thông qua bộ công cụ khai thác), với dropper chịu trách nhiệm tiêm mã vào explorer.exe, thả payload vào các thư mục ngẫu nhiên, và đảm bảo nằm vùng ở đó. Hai dòng mã độc này có thể gửi thông tin được mã hóa tới máy chủ C&C.

Cả Qakbot và Emotet đều được thiết kế để ăn cắp thông tin của nạn nhân và có thể thực hiện bằng cách ghi lại các thao tác phím, bằng cách liên kết các trình duyệt và các API liên quan đến mạng, và ăn cắp cookie và các chứng chỉ.

Hai Trojan này cũng có khả năng lây lan sang các mạng chia sẻ và ổ đĩa có thể truy cập được, bao gồm các ổ đĩa di động như USB. Chúng cũng có thể lây lan thông qua các chia sẻ admin mặc định và các thư mục chia sẻ và có thể tấn công brute-force sử dụng các tài khoản Active Directory và có thể sử dụng Server Message Block (SMB) để lây nhiễm sang các máy khác.

Các doanh nghiệp có thể thực hiện một số biện phát để giảm thiểu khả năng lây nhiễm và loại bỏ các nguy cơ như cách ly máy bị lây nhiễm cho đến khi chúng được dọn dẹp sạch sẽ và ngừng chia sẻ các thư mục có dấu hiệu lây nhiễm. Sau đó, khóa thư mục Scheduled Tasks và vô hiệu chức năng autorun trên các máy bị lây nhiễm. Tiếp theo là loại bỏ Qakbot và Emotet khỏi các hệ thống bị nhiễm, cũng như các phần mềm độc hại liên quan khác đi kèm.

Cuối cùng, các doanh nghiệp nên xác định cách thức lây nhiễm ban đầu và thực hiện các bước để giải quyết, cũng như cho phép bảo vệ thời gian thực trên tất cả các máy trong mạng để ngăn ngừa lây nhiễm trong tương lai. Thiết lập các chính sách email để chặn các tin nhắn có thể mang malware, bảo vệ thông tin xác thực tên miền và đào tạo nhân viên về các mối đe dọa như vậy cũng sẽ giúp ngăn ngừa lây nhiễm trong tương lai.

Dịch WH - Theo: SecurityWeek​

03/11/2017

Gần như toàn bộ dân số Malaysia bị đánh cắp thông tin cá nhân

Theo phóng viên TTXVN tại Kuala Lumpur, dữ liệu cá nhân của khoảng 46,2 triệu thuê bao di động tại Malaysia đang có nguy cơ bị kẻ xấu lợi dụng sau khi xuất hiện thông tin về vụ xâm phạm dữ liệu lớn nhất từ trước đến nay tại quốc gia này.

Vụ rò rỉ thông tin cá nhân này đã được trang tin lowyat.net công bố hồi đầu tháng này và đã được báo cáo lên Ủy ban Truyền thông và Đa phương tiện Malaysia (MCMC).

Theo người sáng lập trang lowyat.net, ông Vijandren Ramadass, với vụ rò rỉ thông tin này, từ địa chỉ nơi ở, số thẻ nhận dạng cho đến thông tin thẻ sim điện thoại - những thông tin cá nhân chi tiết của gần như toàn bộ dân số Malaysia, có thể đã rơi vào tay những đối tượng có mưu đồ xấu.

Khoảng 32 triệu người dân Malaysia đứng trước nguy cơ có thể bị tấn công nhằm thu thập thông tin cá nhân một cách bất hợp pháp. Viễn cảnh tồi tệ nhất là việc các điện thoại bị sao chép dữ liệu, từ đó dẫn đến các vụ lừa đảo và chiếm đoạt tiền…

Ông Vijandren cho rằng các công ty viễn thông của Malaysia cần thẳng thắng thừa nhận vụ việc này đã thực sự xảy ra, đồng thời thông báo và khuyến cáo các khách hàng của mình để thực hiện những biện pháp đối phó cần thiết.

Hiện các cơ quan chức năng của Malaysia đang tiến hành điều tra vụ việc./.

Theo Vietnam+​

31/10/2017

Các ứng dụng có quyền truy cập camera trên iPhone có thể bí mật chụp ảnh, quay camera

iPhone đang gặp phải một vấn đề quan trọng bảo mật, cho phép các nhà phát triển ứng dụng iOS có thể chụp ảnh và ghi lại video trực tiếp bằng cả camera phía trước và sau mà không hề thông báo hay cần sự đồng ý của người dùng.

Theo thông tin trong bài blog của nhà phát triển phần mềm người Úc và cũng là kỹ sư của Google Felix Krause, vấn đề tồn tại trong cách phần mềm của Apple xử lý quyền truy cập máy ảnh.

Rõ ràng, có một lý do chính đáng cho nhiều ứng dụng, như Facebook, WhatsApp, và Snapchat, yêu cầu truy cập vào máy ảnh để chụp ảnh trong ứng dụng.
Vì vậy, việc hệ thống cho phép không phải là lỗi hay lỗ hổng mà là một tính năng, và nó hoạt động chính xác theo cách mà Apple đã thiết kế nó, nhưng Krause cho biết bất kỳ ứng dụng độc hại nào cũng có thể tận dụng tính năng này để ghi lại hoạt động của người dùng.

Các ứng dụng trên iPhone đều có thể âm thầm bật camera bất cứ lúc nào
Krause giải thích rằng việc truy cập máy ảnh cũng có thể cho phép các nhà phát triển ứng dụng iOS có thể:
- truy cập cả camera trước và sau của thiết bị
- chụp ảnh, ghi hình bất cứ lúc nào ứng dụng đó được chạy
- tải và thu thập các nội dung đã được ghi và
- chạy phần mềm nhận diện khuôn mặt thời gian thực để đọc các biểu hiện trên khuôn mặt của bạn
mà không thông báo hay cảnh báo cho người dùng.
Do Apple chỉ yêu cầu người dùng cho phép truy cập máy ảnh một lần khi cấp phép cho một ứng dụng và cho phép truy cập thoải mái vào máy ảnh mà không yêu cầu đèn LED hoặc bất kỳ thông báo nào, Krause giải thích rằng một ứng dụng độc hại có thể tận dụng lỗi này để theo dõi gián điệp của người dùng.
Các nhà nghiên cứu thậm chí đã phát triển một ứng dụng PoC để chứng minh làm thế nào một ứng dụng độc hại có thể lạm dụng các quyền đó để âm thầm chụp ảnh của bạn, hoặc thậm chí quay video trực tiếp từ phía trước và phía sau của máy ảnh mà không thông báo cho bạn.

Cách bảo vệ quyền riêng tư
Krause đề nghị Apple nên đưa ra cách cấp phép tạm thời để truy cập vào máy ảnh, cho phép các ứng dụng chụp ảnh trong một khoảng thời gian giới hạn, và sau đó thu hồi quyền này sau đó.
Một cách khác là trang bị một đèn cảnh báo hoặc thông báo cho iPhone gửi cảnh báo cho người dùng khi ứng dụng thực hiện việc chụp ảnh hay ghi hình.
Quan trọng nhất là không cho phép các ứng dụng độc xâm nhập vào điện thoại bằng việc tải ứng dụng từ các kho chính thống và đọc các nhận xét của người dùng trước đó về ứng dụng và nhà phát triển.

Dịch WHVN - Theo THN

28/10/2017

Microsoft ra mắt Sonar cho phép kiểm tra hiệu năng và bảo mật của các website

Cha đẻ của trình duyệt Microsoft Edge đã chính thức tung ra một công cụ mã nguồn mở mới với công dụng kiểm tra hiệu năng và lỗ hổng bảo mật cho bất kỳ trang web nào.

Công cụ này có tên Sonar, đóng vai trò như một máy quét trang với mục đích giúp các lập trình viên xây dựng những trang web tốt hơn, nhanh hơn và an toàn hơn. Hiện tại, Sonar có thể được sử dụng như một dịch vụ web do Microsoft điều hành hoặc như một công cụ dòng lệnh cho những ai thích mày mò nghiên cứu sâu hơn để tích hợp nó vào nguyên tắc cũng như quy trình làm việc của chính họ.

Microsoft đã tài trợ dự án Sonar cho quỹ JS hồi đầu năm nay. Tuy nhiên, giờ đây bạn sẽ không cần phải là một lập trình viên “khủng” để sử dụng những dòng mã lệnh phức tạp nữa mà chỉ cần truy cập vào trang web của Sonar, nhập địa chỉ trang web của bạn vào và đợi hệ thống phân tích là xong.
Sonar là một công cụ hữu hiệu mà không hề khó sử dụng.

Đội ngũ đứng sau dự án Sonar cho biết cách tiếp cận để phân tích các trang web của họ không giống như những công cụ tương tự khác. Cụ thể, họ xử lý đoạn code ngay trong một container và tiến hành các bài thử nghiệm, đánh giá của mình song song với nhau. Bên cạnh đó, Sonar được tích hợp những công cụ tân tiến khác như aXe Core, AMP validator, snyk.io, SSL Labs và Cloudinary.

Nhóm nghiên cứu cũng nhấn mạnh ưu tiên hàng đầu của họ chính là người dùng và họ muốn đặt người dùng vào trung tâm của sự trải nghiệm. Ông Anton Molleda, trưởng dự án Microsoft Edge, giải thích rằng: “Không chỉ thông báo lỗi của trang web cho các lập trình viên, Sonar còn có khả năng phân tích và chỉ ra nguyên nhân của những lỗi đó. Điều này là vô cùng quan trọng vì từ những phân tích đó, các lập trình viên sẽ có thể quyết định đặc điểm, tính năng nào là tốt nhất cho trang web mà họ đang lập trình”.

Molleda cũng cho biết: “Các yêu cầu cho mỗi trang web luôn thay đổi liên tục. Ví dụ, một trang web mạng nội bộ và một trang web mua sắm sẽ có những nhu cầu cũng như chức năng khác nhau. Vì thế, Sonar cũng sẽ có những thiết lập và mở rộng dễ dàng dành riêng cho từng trang với cách sử dụng vô cùng đơn giản”.


Các bạn có thể trải nghiệm Sonar tại đây nhé!

Dịch GK - Theo: TechCrunch

26/10/2017

Cảnh báo các mã khai thác tiền ảo lợi dụng trình duyệt người dùng

“Vào thời điểm hiện tại, Cryptocurrencies là tất cả “. Bitcoin, altcoins, blockchain, ICO, trang trại khai thác, tỷ giá hối đoái tăng vọt - bạn thấy hoặc nghe điều này mỗi ngày trong tin tức bây giờ. Tất cả điều đó tạo thành một hiệu ứng bandwagon. Mọi người dường như đang cố gắng nhảy vào bandwagon này một cách điên cuồng, từ những nhà đầu tư cho đến những hacker...

Với xu thế đó dẫn tới một hệ quả đó là sự xuất hiện và nổi lên của các nền tảng trực tuyến dựa trên nền tảng web, cho phép những người quản trị web có thể cài đặt các công cụ đào tiền ảo vào trang web của họ như một phương tiện kiếm tiền.

Một số platform đáng chú ý cung cấp một số mã javascript cho các trang web đó là JSE và Coinhive.
Một điều moi người đều biết đó là các chương trình viết để khai thác GPU (Graphics Processing Unit) trong card màn hình máy tính đòi hỏi các công cụ đặc biệt phức tạp. Tại một cuộc thi Hackathon, một số lập trình viên đã tung ra một thư viện javascript cho phép bạn tạo ra các “kernel” function để thực thi trên GPU của hệ thống.

Tuy nhiên thời điểm gần đây, các mã javascript đã được thay đổi, các mã đó hoạt động trên nền của trình duyệt của client truy cập đến server, thực hiện việc khai thác coin bằng cách tận dụng CPU dư thừa của máy tính. Và đây là những gì sẽ xảy ra với máy tính của bạn khi truy cập trang web có JSE và Coinhive.
Trước đây, trang web PirateBay chuyên cung cấp các bản Torrent cũng đã có trường hợp như vậy.
Những điều trên dẫn đến việc một số mã javascript được chèn vào trang web do các hacker tấn công vào web server và để lại mã, thực thi đào coin và chuyển về cho hacker.

Malicious Injection với CoinHive.
Một số quản trị viên đã phát hiện ra việc các processing hoạt động ở mức cao hơn cho phép. Một số còn phát hiện thấy các mã của CoinHive trong trang web của họ.
Coinhive trên trang security.fblaster[.]com
Có thể đây không phải là cách sử dụng CoinHive đúng đắn bởi nó sử dụng một đường link dẫn từ script của trang CoinHive về.
Một điều mọi người tưởng chừng như tệ hại nhất đó là những hacker chỉ việc tiêm các mã javascript này chứa thêm các mã khóa trong mã của của coinhive thì vừa mới hôm qua đã có thêm một tin tức được thông báo. “CoinHive đã bị hack!”

Vậy điều gì đã xảy ra?
Một hacker nào đó đã chiếm quyền kiểm soát tài khoản CloudFlare của Coinhive cho phép hacker này sửa đổi các bản ghi của máy chủ DNS và thay thế mã javascript chính thức của CoinHive được nhúng vào hàng ngàn Website có chứa phiên bản mã độc.

Có một điều thức sự bất ngờ đó là hacker đã sử dụng lại một mật khẩu cũ để truy cập tài khoản CloudFlare của CoinHIve đã bị rò rỉ trong vụ vi phạm dữ liệu trên Kickstarter vào năm 2014.

Theo các báo cáo, vào đêm 23 tháng 10, các bản ghi DNS đã bị thay đổi để chuyển hướng các request của url “coinhive.min.js” tới máy chủ bên thứ ba. Máy chủ bên thứ ba này lưu trữ một phiên bản sửa đổi của tệp Javascript với web key được mã hóa. Kết quả là hàng ngàn website với việc sử dụng script từ CoinHive đã bị lừa.

Các trình duyệt website của bạn có thể khai thác bí mật các mã Cryptocurrencies cho các hacker.
“Sáng tạo nhưng lại bị lạm dụng!”​
Làm thế nào để tránh được các trang web sử dụng mã Javascript để đào coin.?
Do những quan ngại đã được đề cập, một số sản phẩm antivirus, bao gồm cả MalwareBytes và Kaspersky cũng đã bắt đầu chặn script CoinHive và các mã javascript khác liên quan đến sử dụng process của CPU bất hợp pháp nhằm ngăn chặn việc bị quá tải trên hệ thống.


Bạn có thể cài đặt NoCoin hoặc minerBlock, một plugins nhỏ để chặn coin miner cũng như CoinHive.

Kết luận
Nếu một điều gì đó có thể cài đặt lên một trang web và kiếm tiền(ads, miner coin,….), hacker sẽ thực hiện nó trên các trang web mà họ đã hack được. Vì vậy, cách tốt nhất để để các quản trị web đó là “giám sát toàn vẹn” các trang web. Sucuri cũng đã cung cấp một dịch vụ liên quan đến vấn đề này, đường link dưới đây các bạn có thể tham khảo:
https://sucuri.net/website-security-platform/malware-scanning-and-detection

Chung quy lại, điều này cũng phụ thuộc vào trách nhiệm của các quản trị viên web. Nếu thực sự họ muốn làm điều xấu đối với các client thì chính họ cũng có thể chèn các mã này vào trang web của chính họ để trục lợi bởi tiền ảo đã,đang và vẫn sẽ là cơn sốt trên toàn thế giới. Người sử dụng hay truy cập đến các trang web cũng nên tự tìm cách bảo vệ mình trong thế giới đầy rẫy những hiểm họa này!.


Bài viết có tham khảo một số nguồn dẫn trên mạng bao gồm: Thehackernews, SucuriBlog - Tg: krone từ Whitehat 

Mã độc mã hóa dữ liệu Bad Rabbit đang lan rộng

Bad Rabbit, mã độc mã hóa dữ liệu với 67% mã nguồn tương tự mã độc Petya đã khiến cả thế giới “điên đảo” hồi tháng 6, đang tấn công Nga và Ukraine, cùng nhiều quốc gia khác như Bungari, Đức và Thổ Nhĩ Kỳ…

Đến thời điểm hiện tại, nạn nhân là các kênh tin tức lớn như: Hãng thông tấn Interfax của Nga, hệ thống Kiev Metro của Ukraine, Sân bay Quốc tế Odessa và các bộ hạ tầng và tài chính của Ukraine.
Tin nhắn đòi tiền chuộc của Bad Rabbit

Tuy nhiên, các chuyên gia nhận định Bad Rabbit sẽ không lây lan như WannaCry do thiếu cơ chế lan truyền qua EternalBlue.
Thay vào đó, Bad Rabbit sử dụng các thông tin đăng nhập bị đánh cắp được mã hóa cứng thông qua SMB, trước tiên là từ xa ăn cắp mật khẩu từ máy tính bị nhiễm thông qua công cụ khai thác mật khẩu Mimikatz và sử dụng một danh sách tên người dùng/mật khẩu được mã hóa cứng trong mã nhị phân.
Ngoài ra còn có một kết nối Adobe Flash Player giả mạo: một dropper của Diskcoder.D hiện ra như một trình cài đặt Flash Player.

Theo các nhà nghiên cứu tại Kaspersky, đây là một cuộc tấn công nhắm mục tiêu vào các mạng công ty, sử dụng các phương pháp tương tự như trong cuộc tấn công ExPetr hồi tháng 6. “Dropper của ransomware được phân phối với sự trợ giúp của các cuộc tấn công drive-by. Trong khi mục tiêu đang truy cập vào một trang web hợp pháp, một dropper độc hại được tải xuống từ hạ tầng của tin tặc. Nạn nhân sẽ phải tự thực thi dropper độc hại đang giả mạo là trình cài đặt Adobe Flash".

Adam Meyers, phó chủ tịch tình báo tại CrowdStrike, cho biết Bad Rabbit dường như đã được lây nhiễm thông qua trang web argumentiru.com, một trang web về người nổi tiếng và tin tức ở Nga và Đông Âu. "CrowdStrike Intelligence có thể khẳng định rằng trang web này đã lưu trữ một gói JavaScript độc hại vốn là một cuộc tấn công Web Strategic Web Compromise (SWC) vào ngày 24 tháng 10 năm 2017".


CrowdStrike cũng tìm thấy nhiều bằng chứng về mối liên hệ với kẻ tấn công sử dụng NotPetya: Bad Rabbit và NotPetya DLL "chia sẻ 67% mã nguồn, điều này có khả năng là cùng một tin tặc đứng sau cả hai cuộc tấn công", Meyers cho biết.

Theo Dark Reading​

24/10/2017

Mã độc móc túi thuê bao Android vô tư xuất hiện trên Google CH Play

Theo ước lượng từ số lượt tải thì có ít nhất 640.000 và nhiều nhất là 2.6 triệu thuê bao Android đã bị dính dòng mã độc này. Nếu tính giá subscribe dịch vụ chỉ 2000 VNĐ/ngày thì mỗi ngày thuê bao đã bị móc 1.2–5.2 tỉ VNĐ, cứ đều đều thế này thì không biết 1 năm bao nhiêu tỉ.

Thực ra loại mã độc này không phải là quá mới lạ. Nó được được rất nhiều tổ chức bảo mật trên thế giới và ngay cả Việt Nam cảnh báo. Chỉ là không ngờ nó lại ngang nhiên tồn tại trên Google Store dẫn tới số lượng người bị ảnh hưởng lớn đến như vậy. Tính theo thời gian của version gần nhất có mã độc thì ít nhất việc này đã xảy ra từ tháng 3, tháng 4 năm nay.

Cách thức hoạt động của nó là?
Các mã độc được ẩn mình trong các ứng dụng Android. Thậm chí có ứng dụng còn có tên là “Diệt Virus — Quét Virus 2017”. Khi người dùng cài đặt và chạy ứng dụng, mã độc sẽ thực hiện tự động tắt wifi để chuyển sang dùng Mobile Data. Mục đích là để tận dụng các tiện ích nhận dạng thuê bao tự động của các nhà mạng để đăng ký tự động các dịch vụ VAS mà người dùng không hề hay biết. 

Mã độc giả mạo hành vi truy cập trang web dịch vụ VAS, sau đó giả mạo luôn hành vi đăng ký dịch vụ của người dùng. Nhìn từ phía các server sẽ không thể phân biệt được đó là người dùng tự đăng ký hay do mã độc bởi nó giả mạo mọi thông tin trong bản tin HTTP request gửi về server, y hệt như cách người dùng vào trình duyệt và truy cập. Bởi thế, ngay cả các phương pháp phòng vệ bước 2 của nhà mạng cũng bị mã độc này vượt qua.

Chi tiết luồng kỹ thuật
Mọi người có thể tham khảo lịch sử kết nối của 1 trường hợp như dưới đây:
Đây là case khi cài phần mềm AppLock Hide Pictures & Videos. Ngay sau khi cài đặt, chạy ứng dụng này lên, lập tức ứng dụng xin được tắt Wifi để chạy Mobile Data. Test thử nghiệm ứng dụng “Diệt Virus — Quét Virus 2017” trên 1 máy đã root thì thậm chí không có cảnh báo nào, máy tự tắt Wifi, bật Mobile Data. (Theo như reverse thì nó còn chủ động chuyển máy về trạng thái Silent) Sau đó:
1. Nó truy cập đến C&C Server 139.162.12.9 để báo danh:
/JXEnterprise/sdk/853d221d2f4f4ea8/com.hidepicturesandvideos.applocker/5101
 — Trong đó đoạn đầu là fix bởi JXSDK, 1 SDK chắc dành riêng cho lậu, vì tôi đã search nhưng không tìm ra kết quả
 — 5101 là mã do developer truyền vào. Tất cả các app dính lậu được phát hiện đều truyền vào tham số này. Phải chăng họ cùng 1 team, chỉ là chia ra nhiều account Google Develope? Hoặc cùng được 1 người thuê?

2. C&C Server sẽ trả về cho nó link dịch vụ VAS cần kích hoạt lậu
gamestore.vn/?page=wapreg&mm=2201
(Có 1 điểm rất đặc biệt là nếu các bạn vào thăm trang web này, truy cập mục game Tải nhiều thì sẽ thấy tất cả các game đều có lượt mua bằng nhau: 41220 lượt. F5 thử vài lần cũng không thấy có gì thay đổi)
3. Các bạn có thể thấy trong bảng list lịch sử kết nối, các trường User-agent và Refferer đều được điền đầy đủ, clone y hệt một luồng đăng ký bằng trình duyệt của người dùng thông thường. Qua 1 loạt các bước hoạt động theo chỉ dẫn của C&C Server, mã độc đã giả mạo được người dùng để vượt qua các bước đăng ký dịch vụ của GameStore.VN và các bước xác thực của nhà mạng.

4. Và ting ting, thuê bao nhận được thông báo chúc mừng mà đa phần mọi người sẽ coi là tin nhắn rác.
Tìm thử 1 loạt các ứng dụng khác trên Google CH Play, appstore chính thống cho smartphone Android của Google, vẫn thấy 1 loạt các ứng dụng sau có hành vi tương tự
vn.lichvannien.lichamduongvietnam (GooglePlay, 50.000–100.000 lượt cài)
com.antivirus.virusremover.security (GooglePlay, 100.000–500.000 lượt cài)
com.weatherforecast.weatherwidget (GooglePlay, 50.000–100.000 lượt cài)
com.captain.qrcodescanner.barcodescannerreader (GooglePlay, 100.000–500.000 lượt cài)
com.captainstudio.musicplayerandvideoplayer (GooglePlay, 10.000–50.000 lượt cài)
com.captain.lovebyte.lovedaycounter (GooglePlay, 100.000–500.000 lượt cài)
com.captain.callrecorder (GooglePlay, 10.000–50.000 lượt cài)
com.crackscreen.prankscreencrack (GooglePlay, 50.000–100.000 lượt cài)
com.weed.assistivetouch.easytouch (GooglePlay, 100.000–500.000 lượt cài)
com.hidepicturesandvideos.applocker (GooglePlay, 10.000–50.000 lượt cài)
com.cameraselfie.filtercamera (GooglePlay, 50.000–100.000 lượt cài)
com.memorycleaner.speedbooster.memorybooster (GooglePlay, 10.000–50.000 lượt cài, )
Các ứng dụng này đến từ 3 nhà phát triển:
- Captain Studio
- Weed Studio
- Pontus Studio

Đôi lời nhắn gửi
 — Với các nhà mạng: hãy nhanh chóng chặn C&C để bảo vệ khách hàng Việt Nam và cả vì an ninh quốc gia. Tưởng tượng nửa triệu thuê bao này được huy động vào 1 chiến dịch tấn công nào đó thì ảnh hưởng sẽ lớn đến thế nào. Các công ty cung cấp nội dung (CP) đôi khi chỉ là công cụ, bị lợi dụng để các đối tượng có mục tiêu lớn hơn phát triển botnet. Bởi lẽ kiểm soát mạng lưới các điện thoại nhiễm mã độc này là 1 C&C đặt tại Singapore chứ không phải các CP.
 — Với đông đảo người dùng: hãy kiểm tra xem mình có sử dụng các ứng dụng này không bằng cách lấy tên các gói phần mềm ở trên cho vào link này để lấy tên app hiển thị và logo ứng dụng:
 https://play.google.com/store/apps/details?id=<tên gói ở trên>
VD: https://play.google.com/store/apps/details?id=com.hidepicturesandvideos.applocker
 + Nếu thấy hãy lập tức gỡ bỏ ứng dụng và kiểm tra tài khoản của mình. Nếu bị trừ tiền oan, hãy liên hệ với nhà mạng đòi lại tiền cho mình. Các CP tham gia móc túi người dùng cần phải chịu trách nhiệm cho các hành động gian trá ấy.
 — Với Google: các bạn hãy làm tốt hơn công tác kiểm duyệt và hậu kiểm, xử lý cả app và các nhà phát triển bẩn

 Update:
-18/10/2017: Jason, Phụ trách chương trình chống Mã độc của Google CH Play đã xác nhận cảnh báo này. Google đã gỡ bỏ toàn bộ các apps được cảnh báo. Search thử WeesStudio, không thấy có kết quả nào. Có lẽ Google đã xử cả nhà phát triển ;)
- 13/10/2017: Các ứng dụng của Weed Studio đã mới được cập nhật lại hôm 10/10/2017 và hạn chế thị trường Việt Nam, tức là đúng hôm chúng tôi gửi cảnh báo. Chúng chỉ được mở lại ở Việt Nam vào 13/10/2017.

Theo: kindachubbytiger