RokRat là một Trojan Acess Từ xa (RAT) nổi tiếng được các nhà nghiên cứu an ninh mạng quan sát thấy lần đầu tiên vào năm 2014. Trong suốt những năm hoạt động, nó đã phát triển đáng kể và hiện là một phần mềm độc hại rất tinh vi và dễ lẩn tránh.
RokRat tận dụng một Trình xử lý văn bản Hangul độc hại, một giải pháp thay thế phổ biến cho MS Word ở Hàn Quốc. Sự lây nhiễm bắt đầu bằng chiến dịch email lừa đảo trực tuyến hoặc bộ công cụ khai thác có chứa đối tượng EPS được nhúng nhằm tìm cách khai thác lỗ hổng bảo mật của Windows, CVE-2013-0808. Đối tượng EPS tải xuống tệp nhị phân được ngụy trang dưới dạng tệp JPG, tệp này chịu trách nhiệm khởi chạy phần mềm độc hại RokRAT trên máy tính của nạn nhân.
Ai bị ảnh hưởng bởi Trojan RokRat?
Có vẻ như mục tiêu chính của cuộc tấn công bằng phần mềm độc hại RokRat là người Hàn Quốc, do phần mềm độc hại này dành riêng cho một Bộ xử lý văn bản của Hàn Quốc. Tài liệu cụ thể dẫn đến việc lây nhiễm có chứa các quan điểm chính trị mà nhiều người Hàn Quốc sẽ quan tâm khi nó nói về sự thống nhất cuối cùng của Bán đảo Triều Tiên.
Phần mềm độc hại dường như cũng nhắm mục tiêu vào các phiên bản cũ hơn của Hệ điều hành Windows hoặc ít nhất là những phiên bản chưa được cập nhật. Điều này xảy ra là do bản vá cho khai thác CVE-2013-0808 đã được Microsoft cung cấp.
Trojan RokRat có thể làm gì?
Như đã lưu ý trước đó, vectơ lây nhiễm cho RokRat Trojan là một tài liệu HWP độc hại có chứa đối tượng PostScript được đóng gói (EPS) được nhúng. Đối tượng EPS khai thác một điểm yếu trong lỗ hổng nổi tiếng CVE-2013-0808. Từ đây, nó sẽ tải xuống tệp nhị phân được ngụy trang dưới dạng tệp JPG.
Khi ở bên trong một thiết bị, RokRat Trojan bắt đầu một quy trình cmd.exe để đưa mã được giải nén vào và thực thi nó. Trojan RokRat sử dụng nhiều kỹ thuật để trốn tránh việc theo dõi. Ví dụ, nó dựa trên các nền tảng đám mây Mediafire, Yandex và Twitter hợp pháp làm trung tâm chỉ huy và kiểm soát. Nó cũng sử dụng kết nối HTTPS như một chiến lược gây khó khăn cho việc thu thập dữ liệu về các hoạt động của nó.
Là một Trojan, phần mềm độc hại RokRat có khả năng đánh cắp mật khẩu, keylog, chụp ảnh màn hình, thực thi tệp, tải lên tài liệu và thậm chí giết chết các quy trình. Tội phạm mạng sau đó có thể sử dụng dữ liệu này cho tất cả mọi thứ, bao gồm cả gian lận tài chính và danh tính. Nhưng mục tiêu thực sự của RokRat Trojan vì nó có vẻ là một vũ khí mạng của Triều Tiên là thu thập thông tin tình báo cho nhà nước.
Sâu RokRat là một phần mềm độc hại rất tinh vi, gây ra mối đe dọa lớn cho nạn nhân của nó. Nếu một máy tính bị nhiễm Trojan truy cập từ xa RokRat, nó cần được gỡ bỏ càng sớm càng tốt.
Cách loại bỏ Trojan RokRat
Loại bỏ Trojan RokRat thật dễ dàng vì tất cả những gì bạn cần là một giải pháp chống phần mềm độc hại mạnh mẽ. Bạn cũng nên biết rằng Rokrat Trojan không còn là mối đe dọa đáng kể khiến bạn lo lắng vì việc khai thác mà nó sử dụng, tức là CVE-2013-0808, đã được vá. Vì vậy, trừ khi bạn đang sử dụng máy tính chưa được cập nhật trong một thời gian dài, phần mềm độc hại sẽ không phải là mối đe dọa đối với bạn.
Điều đó nói lên rằng, những kẻ tạo ra phần mềm độc hại luôn tìm kiếm những cách khai thác khác mà họ có thể sử dụng cho các chiến dịch lây nhiễm trong tương lai, vì vậy cần phải cảnh giác. Dưới đây là một số mẹo để giúp bạn điều đó.
Tải xuống các bản cập nhật Windows mới nhất
Bất kể bạn đang sử dụng hệ điều hành nào trừ khi bạn đang sử dụng Windows XP (đó là một ý tưởng thực sự tồi), hãy luôn cập nhật hệ điều hành này bằng cách tải xuống và cài đặt các bản cập nhật được đề xuất.
Cài đặt phần mềm chống phần mềm độc hại
Bạn có phần mềm chống phần mềm độc hại trên máy tính của mình không? Nếu không, đã đến lúc bạn tải xuống một tài khoản vì đây là cách duy nhất để bảo vệ chống lại sự lây nhiễm phần mềm độc hại.
Làm sạch máy tính của bạn
Nếu bạn chưa có công cụ sửa chữa PC trên máy tính của mình, hãy mua một công cụ trước khi đọc xong phần này. Đây là loại phần mềm sẽ từ chối các thực thể phần mềm độc hại như nơi cư trú của Trojan RokRat trên thiết bị của bạn bằng cách xóa các tệp rác, lịch sử duyệt web, cookie và sửa chữa các mục đăng ký bị hỏng hoặc bị thiếu.
Hãy cảnh giác với những trò lừa đảo trực tuyến
Đã có mặt xung quanh máy tính và internet một thời gian, bây giờ bạn nên biết rằng tội phạm mạng sẽ làm bất cứ điều gì trong khả năng của chúng để xâm nhập vào máy tính của bạn. Đừng cho phép họ dễ dàng mắc phải những trò lừa đảo trực tuyến giá rẻ.
Hy vọng rằng bài viết này về cách loại bỏ Trojan RokRat đã mang lại hiểu biết sâu sắc cho bạn. Nếu bạn có câu hỏi liên quan đến thực thể phần mềm độc hại được thảo luận ở đây, vui lòng đăng chúng trong phần bình luận bên dưới.