Chủ đề

(Không gian mạng) - Hãng bảo mật Kaspersky Lab (Nga) vừa cho biết các cuộc tấn công gần đây nhắm vào tổ chức tài chính và chính phủ Châu Á đã lợi dụng một lỗ hổng zero-day trong phầm mềm xử lý văn bản InPage.


Đây là phần mềm thường dùng ở các nước nói tiếng Urdu, Pashto, Ả Rập, được sử dụng rộng rãi ở Châu Á và một số nơi như các công ty truyền thông, học viện, thư viện, ngân hàng và tổ chức chính phủ.

Trong khi phân tích một mục tiêu bị tấn công bởi nhiều loại hình khai thác khác nhau, các nhà nghiên cứu của Kaspersky đã phát hiện một tập tin khai thác có phần mở rộng (.inp) của InPage. Bên trong tập tin này chứa shellcode đã được kích hoạt trên một số phiên bản InPage, shellcode này giải mã chính nó và tập tin EXE được nhúng trong tài liệu.

Bản đồ về người dùng của InPage

Bản đồ về người dùng của InPage

 

“InPage sử dụng định dạng tập tin độc quyền riêng dựa trên định dạng Microsoft Compound File Format. Chương trình phân tích (parser) trong mô-đun inpage.exe chính của phần mềm này chứa một lỗ hổng khi phân tích các field nhất định. Bằng cách thiết lập một field trong tài liệu này, kẻ tấn công có thể kiểm soát việc chỉ dẫn và nắm quyền thực thi mã”, chuyên gia nghiên cứu Denis Legezo của Kaspersky giải thích.

Trong cuộc tấn công mà Kaspersky quan sát, nhiều nhóm tin tặc đã gửi email khai thác lỗ hổng InPage để tấn công cơ quan chính phủ và tài chính Châu Á và Châu Phi, trong một số nước như Myanmar, Sri-Lanka và Uganda. Lỗ hổng này phát tán cửa hậu (backdoor) và mã độc theo dõi bàn phím (keylogger) khác nhau nên các nhà nghiên cứu cho rằng nhiều tin tặc riêng rẽ đang cùng khai thác nó.

Kaspersky Lab quyết định tiết lộ lỗ hổng này sau khi đã cảnh báo InPage nhưng bị hãng này phớt lờ.

Châu Lyn (Dịch từ Security Week)

Securtity Week: Mã độc ngân hàng Gugi/Fanta/Lime nhắm vào Nga

Securtity Week: Mã độc ngân hàng Gugi/Fanta/Lime nhắm vào Nga

Một mã độc tài chính mới mang tên Gugi/Fanta/Lime đã xuất hiện trên thị trường. Nó có thể vượt qua các giao thức bảo mật tiêu chuẩn của hệ điều hành Android phiên bản 6. Hãng bảo mật...
Security Week: Chiến dịch gián điệp mạng Tropic Trooper tiếp tục nhắm mục tiêu Đài Loan

Security Week: Chiến dịch gián điệp mạng Tropic Trooper tiếp tục nhắm mục tiêu Đài Loan

Hãng bảo mật Palo Alto Networks (Mỹ) vừa phát hành báo cáo chiến dịch gián điệp mạng Tropic Trooper tiếp tục nhắm mục tiêu tổ chức tài chính và ngành năng lượng Đài Loan. Tropic...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên