Phần mềm độc hại BabyShark là một loại phần mềm độc hại tương đối mới có liên quan đến các tổ chức nhà nước từ Triều Tiên. Nó được xác định lần đầu tiên vào tháng 2 năm 2019 bởi các nhà nghiên cứu thuộc Đơn vị 42 của Palo Alto Networks.
Lý do mà các nhà nghiên cứu an ninh mạng có thể xác định chính xác nguồn gốc của nó là vì nó được phân phối bằng các kỹ thuật lừa đảo có liên quan đến Triều Tiên. Trong trường hợp cụ thể này, các email lừa đảo trực tuyến được tạo ra theo cách mà chúng dường như đến từ một chuyên gia hạt nhân hàng đầu của Hoa Kỳ. Các email có tên của chuyên gia và các chủ đề liên quan đến vấn đề nút nóng về chương trình tên lửa hạt nhân của Triều Tiên.
Một điểm khác cho các nhóm hack của Triều Tiên là thực tế là phần mềm độc hại này sử dụng các kỹ thuật xâm nhập tương tự như các dòng phần mềm độc hại KimJongRAT và STOLEN PENCIL, cả hai đều có liên quan đến Vương quốc Hermit.
Phần mềm độc hại BabyShark làm gì?
Giai đoạn lây nhiễm đầu tiên của phần mềm độc hại BabyShark liên quan đến việc thực thi tập lệnh Microsoft Visual Basic có trong tệp MS Excel độc hại.
Tập lệnh VB cho phép một loạt mã macro cho cả MS Word và Excel, bổ sung các khóa đăng ký và đưa ra các lệnh để tìm thông tin người dùng, thông tin hệ thống, tên hệ thống, địa chỉ IP, các tác vụ đang chạy và các phiên bản của chúng.
Sau đó, thông tin lấy được sẽ được gửi đến máy chủ lệnh và điều khiển (C&C), nhưng không phải trước khi nó bị mã hóa bởi phần mềm độc hại BabyShark bằng một tệp thực thi được gọi là certutil.exe. Sau khi gửi thông tin ban đầu này, thực thể phần mềm độc hại sẽ đứng yên chờ lệnh từ C&C.
Người ta tin rằng mục tiêu chính của các tác nhân đe dọa đằng sau thực thể phần mềm độc hại là thu thập thông tin tình báo liên quan đến các vấn đề an ninh quốc gia của Đông Bắc Á.
Cách xóa phần mềm độc hại BabyShark
Mặc dù phần mềm độc hại BabyShark được phân phối qua các tệp MS Word và Excel, nhưng bản thân nó là một phần mềm độc hại không có bộ lọc. Điều đó có nghĩa là nó không nằm trong bất kỳ thư mục cụ thể nào vì nó chỉ đơn giản là một đoạn mã có thể chạy nhiều lần nếu cần.
Điều này khiến nó trở thành mục tiêu rất khó cho hầu hết các phần mềm chống phần mềm độc hại, ngoại trừ những phần mềm tập trung vào giám sát hành vi, ngăn chặn ứng dụng và làm cứng điểm cuối. Đó là lý do tại sao chúng tôi đề xuất Outbyte Anti-Malware vì nó được biết là sử dụng các kỹ thuật này và hơn thế nữa.
Phần mềm chống phần mềm độc hại sẽ thực hiện làm sạch sâu hệ thống của bạn và loại bỏ bất kỳ thực thể phần mềm độc hại nào, nhưng bạn sẽ phải chạy thiết bị Windows hoặc Mac của mình trên Chế độ an toàn với mạng vì theo cách đó, thực thể phần mềm độc hại sẽ không có cơ hội can thiệp vào quá trình tự khởi động các mặt hàng.
Sau khi phần mềm chống phần mềm độc hại hoàn thành công việc của mình, bạn nên triển khai công cụ sửa chữa PC để làm sạch các tệp tải xuống bị ô nhiễm và các thư mục tạm thời nơi có thể chứa vi-rút.
Công cụ sửa chữa PC cũng sẽ sửa chữa mọi hư hỏng đối với các tệp mục đăng ký.
Sau khi bạn đã xóa thành công thực thể phần mềm độc hại, bây giờ bạn cần thực hiện các biện pháp để đảm bảo rằng bạn không bao giờ bị nhiễm lại.
Bảo vệ hệ thống của bạn khỏi Phần mềm độc hại BabyShark
Cách tốt nhất để bảo vệ máy tính của bạn khỏi phần mềm độc hại BabyShark là cẩn thận và không bị cuốn vào các chiến dịch lừa đảo trực tuyến theo kiểu mà Triều Tiên thích sử dụng. Chắc chắn, email và tệp đính kèm của chúng có thể rất hấp dẫn, nhưng bạn phải hiểu rằng chúng xuất hiện như vậy là có lý do.
Ngoài ra, bạn luôn có tùy chọn để kiểm tra kỹ xem các email có xác thực hay không. Trong trường hợp của phần mềm độc hại BabyShark, khả năng một chuyên gia hạt nhân nổi tiếng của Mỹ sẽ chia sẻ các tệp liên quan đến Triều Tiên trong một email được chia sẻ với những người ngẫu nhiên là như thế nào. Nhìn thấy? Thật là dễ dàng.
Cuối cùng, bạn nên có một công cụ chống phần mềm độc hại mạnh mẽ trên máy tính của mình mọi lúc. Sử dụng nó để quét thiết bị của bạn thường xuyên nếu bạn có thể.