Các nhà nghiên cứu của Cylance vừa phát hiện ra một trojan điều khiển từ xa (RAT) có tên “Hacker’s Door” vừa trở lại sau khi nó xuất hiện lần đầu tiên vào năm 2004, được cập nhật các tính năng mới vào năm 2005. Trojan này có nhiều tính năng cũng như đặc điểm giống với loại cùng tên đến từ Trung Quốc năm 2004 nhưng đã cập nhật để chạy trên các hệ điều hành mới hơn, trên nền tảng 64-bit.
Các nhà nghiên cứu cho biết phần mềm độc hại này dường như được điều khiển bởi nhóm hacker Winnti đến từ Trung Quốc. Đây là nhóm hacker đã từng thực hiện nhiều cuộc tấn công trong quá khứ vào lĩnh vực tài chính.
Phiên bản mới của phần mềm độc hại bao gồm một backdoor cùng với trình điều khiển rootkit được sử dụng để lấy thông tin bí mật. Sau khi kích hoạt, RAT có thể thu thập thông tin hệ thống, lấy ảnh chụp màn hình và các tệp tin, bí mật tải các tệp bổ sung và thậm chí chạy các quy trình và lệnh khác.
Phần mềm này cũng có thể liệt kê và diệt các tiến trình khác, mở cổng Telnet và truy cập từ xa, trích xuất các thông tin xác thực của người dùng Windows trực tiếp. Trojan này có thể hỗ trợ lên đến Windows 8.1
Các cập nhật gần đây cho biết Hacker’s Door cho thấy nó đang được phát triển một cách tích cực. Hiện, nó đang được tác giả gốc rao bán.
“Mặc dù tác giả cho biết, xin vui lòng không sử dụng cho các mục đích bất hợp pháp nhưng họ vẫn tiếp tục có lợi từ việc bán công cụ truy cập từ xa này”, Cylane cho biết. Rất có thể công cụ này sẽ tiếp tục được khám phá như một phần của các cuộc tấn công tới đây.
Theo những nguồn tin khác nhau gần đây cho thấy, mục tiêu tấn công của nhóm hacker đến từ Trung Quốc, "cha đẻ" của Hacker's Door thời gian gần đây dường như đang nhắm tới lĩnh vực hàng không vũ trụ. Điều này đã dấy lên nhiều lo lắng mới.
Đ.Huệ