Một chiến dịch phát tán phần mềm độc hại “Machete” bị phát hiện

Một chiến dịch tình báo mạng mới, với mục tiêu nhằm vào các dịch vụ tin tức, tổ chức quân sự, đại sứ quán và cơ quan chính phủ đóng tại các nước nói tiếng Tây Ban Nha, đã bị phát hiện.

Tận dụng sự đồng nhất giữa một phần của phần mềm độc hại và ứng dụng liên quan đến Java mà Kaspersky đặt tên là Machete, những kẻ đứng đằng sau muốn lợi dụng chiến dịch này để làm lây nhiễm máy tính của nạn nhân và biến nó thành một công cụ gián điệp.

Ngoài việc cung cấp quyền truy cập vào các tập tin trên máy tính và gửi chúng tới một máy chủ từ xa, Machete có thể được dùng để ghi lại tổ hợp phím, thu âm thanh qua microphone của máy tính, lấy ảnh chụp màn hình, trích xuất được vị trí địa lý của hệ thống và chụp ảnh với webcam.

Những tin tặc này chắc chắn rằng nếu không thể kết nối với máy chủ và giành quyền kiểm soát, phần mềm độc hại vẫn có thể thu thập các dữ liệu thông qua truy cập vật lý. Như vậy, Machete có thể sao chép tập tin vào một thiết bị lưu trữ USB đặc biệt, ngay sau khi nó được nối với máy tính.

Các nhà nghiên cứu bảo mật từ Kaspersky phân tích hiểm họa này và xác định rằng nó đã được sử dụng ít nhất là bốn năm và đã thu lợi từ những cải tiến cách đây hai năm.

“Machete là một chiến dịch tấn công nhằm can thiệp vào các máy chủ đặt tại các nước nói tiếng Tây Ban Nha. Chúng tôi tin rằng chiến dịch này bắt đầu năm 2010 và tái diễn với một cơ sở hạ tầng được cải thiện vào năm 2012 và các hoạt động có thể vẫn đang tiếp tục”, các chuyên gia bảo mật tại Kaspersky cho biết.

Các nước có số lượng nạn nhân lớn nhất bao gồm Venezuela (372), tiếp theo là Ecuador (282) và Colombia (85). Tuy nhiên, các nước khác cũng bị ảnh hưởng, 45 nạn nhân đã được phát hiện ở Nga, trong đó mục tiêu có khả năng là đại sứ quán của một quốc gia châu Mỹ La tinh.

Việc phát tán các phần mềm độc hại được thực hiện thông qua các chiến dịch lừa đảo và thông qua một trang web giả mạo, các hình thức lây nhiễm đơn thuần chỉ dựa vào phương pháp tấn công social engineering và không có lỗ hổng zero-day nào được khai thác bởi những kẻ tấn công.

Để dễ mã hóa hơn, tác giả của phần mềm độc hại đã sử dụng Python và nhúng tất cả các thư viện cần thiết trong hệ điều hành Windows và hiển thị tập tin trình chiếu PowerPoint trong khi cài đặt mã độc. Kaspersky phát hiện ra tám tên miền được sử dụng để điều khiển và kiểm soát và đã xử lý được hai trong số đó. Đây không phải là cuộc tấn công chỉ nhắm mục tiêu vào các nước Mỹ Latinh và các hoạt động song song cũng đang diễn ra tại những khu vực có liên quan khác.