Mã độc tống tiền Cerber có thể ăn cắp ví bitcoin, mật khẩu trình duyệt

Mã độc Cerber đã quay trở lại với biến thể mới nguy hiểm hơn

Theo Neowin, các nhà nghiên cứu tại hãng bảo mật Trend Micro đã phát hiện phiên bản cập nhật của ransomware Cerber vẫn được phân phối theo cách cũ là gửi email spam. Tập tin đính kèm javascript bên trong nó có thể tải về phiên bản mới của Cerber với khả năng tấn công ví bitcoin.

Để làm điều này, Cerber sẽ ăn cắp tập tin ví từ ba máy khách bitcoin: wallet.dat từ Bitcoin Core, *.wallet từ Multibit và electrum.dat từ Electrum. Tuy nhiên, điều đáng chú ý là việc lấy tập tin ví bitcoin không có nghĩa bitcoin có thể bị đánh cắp bởi tên trộm vẫn cần nhận mật khẩu bảo vệ ví, trong khi khách hàng của Electrum đã ngừng sử dụng tên tập tin trên kể từ năm 2013.

Vấn đề với Cerber trở nên tồi tệ hơn khi biến thể mới của nó giờ đây có thể cố gắng lấy cắp mật khẩu được lưu từ các trình duyệt như Internet Explorer, Mozilla Firefox và Google Chrome.

Nội dung thông điệp cảnh báo đến từ mã độc tống tiền Cerber

Các bước này được thực hiện trước khi quá trình mã hóa thông thường diễn ra. Tất cả dữ liệu bị đánh cắp sẽ được gửi đến máy chủ Command & Control (C&C) và các tập tin ví sẽ bị xóa trên máy chủ sau khi chúng được gửi đi.

Được biết, Cerber là một trong nhiều loại mã độc tước đoạt tiền của nạn nhân nhiều nhất. Cách đây 1 năm, nó đã được phát hiện với khả năng thu về tiền chuộc lên đến 1 triệu USD/năm, mặc dù chỉ có 0,3% trong số những nạn nhân phải chấp nhận trả tiền. Mã độc hại này cũng có khả năng phát hiện các máy ảo, từ đó ngăn chặn sự phân tích của các nhà nghiên cứu bảo mật.

Vì vậy các nhà bảo mật Trend Micro khuyến cáo người dùng cẩn thận trong việc mở email mà họ nhận được, đặc biệt là các tập tin đính kèm. Một số tập tin giả mạo có nội dung quan trọng hoặc vô hại nhưng thực tế sẽ phát tán mã nguy hiểm có thể ảnh hưởng đến tính bảo mật máy tính của nạn nhân.

Theo thanhnien.vn