Xem giá, khuyến mãi tại Hồ Chí Minh Giỏ hàng Lịch sử đơn hàng

Chọn địa chỉ nhận hàng

Đóng
Vui lòng đợi trong giây lát...
Hồ Chí Minh

Hãy chọn địa chỉ cụ thể để chúng tôi cung cấp chính xác giá và khuyến mãi

Bạn vui lòng chờ trong giây lát...

NoxPlayer có thể xâm nhập, phát tán mã độc thông qua các bản cập nhật

Vừa qua, các nhà nghiên cứu ESET phát hiện NoxPlayer bị phát hiện là đã bị xâm nhập và phát tán mã độc tới người dùng thông qua các bản cập nhật. Cùng theo dõi bài viết để biết cách kiểm tra phần mềm NoxPlayer trên thiết bị của bạn có chứa mã độc không nhé.

NoxPlayer xâm nhập và phát tán mã độc thông qua các bản cập nhật

NoxPlayer xâm nhập và phát tán mã độc thông qua các bản cập nhật

Bài viết này thực hiện trên máy tính Dell Inspiron 14 chạy Windows 10, bạn có thể thực hiện tương tự cho các dòng máy tính nền tảng Windows khác. 

I. NoxPlayer bị phát hiện xâm nhập và phát tán mã độc tới người dùng thông qua các bản cập nhật 

Gần đây, các nhà nghiên cứu bảo mật ESET đã phát hiện phần mềm NoxPlayer bị tấn công và phát tán mã độc tới người dùng thông qua các bản cập nhật. Theo các nhà nghiên cứu, NoxPlayer chứa 3 mã độc khác nhau, chúng được thiết kế để giám sát người dùng, không phải đánh cắp tiền bạc. 

1. Mã độc của NoxPlayer được phát tán bởi những bản cập nhật từ tháng 9 năm 2020

Theo nghiên cứu của ESET thì mã độc xâm nhập và phát tán đến người dùng dựa vào các bản cập nhật của NoxPlayer từ tháng 9 năm 2020 cho đến khi các nhà nghiên cứu ESET phát hiện vào ngày 25 tháng một năm 2021.

Theo công bố kết quả nghiên cứu, tỷ lệ người bị mã độc xâm nhập số lượng rất nhỏ so với tổng số người dùng NoxPlayer, chỉ có khoảng 5 người bị gửi bản cập nhật chứ mã độc trên tổng số 100.000 người dùng NoxPlayer. Các nạn nhân sống ở Đài Loan, Hồng Kông và Sri Lanka.

2. Cơ chế hoạt động của mã độc

Các mã độc dựa vào cơ chế cập nhật của NoxPlayer để phát tán tới thiết bị người dùng. Khi bạn khởi chạy phần mềm, NoxPlayer sẽ tự động phát hiện bản cập nhật mới và nhắc nhở người dùng cài đặt phiên bản mới này qua hộp thoại (như ảnh). Sau khi, người dùng bấm Update now, mã độc sẽ được cài vào thiết bị.

NoxPlayer gửi yêu cầu cập nhật phiên bản mới nhất

NoxPlayer gửi yêu cầu cập nhật phiên bản mới nhất

Điều này được thực hiện bằng cách truy vấn vào máy chủ cập nhật của NoxPlayer thông qua API của BigNox HTTP ( api.bignox.com ) để gửi thông báo cập nhật đến người dùng.

API Của NoxPlayer

API Của NoxPlayer

Phản hồi của đoạn code API trên chính là thông tin cập nhật cụ thể như URL có kích thước và các thông tin liên quan đến bản cài đặt.

Phản hồi của đoạn API

Phản hồi của đoạn API

Sau khi người dụng nhận được thông báo cập nhật phiên bản mới nhất và bấm Update now, file cài đặt Nox.exe sẽ được khởi chạy và cung cấp các thông số cập nhật, bao gồm cả NoxPack.exe để cài đặt bản cập nhật mới của phần mềm. 

Chuỗi hành động khi bấm cập nhật

Chuỗi hành động khi bấm cập nhật

3. Tóm tắt quá trình phần mềm độc hại xâm nhập vào thiết bị của bạn

  • Khi khởi chạy, NoxPlayer phát hiện có phiên bản cập nhật và gửi một yêu cầu qua API để truy vấn thông tin cập nhật Nox.exe.
  • Máy chủ BigNox API phản hồi yêu cầu của bạn khi bạn bấm Update Now với thông tin cập nhật cụ thể, bao gồm URL để tải xuống bản cập nhật từ cơ sở hạ tầng hợp pháp của BigNox.
  • Nox.exe cung cấp các tham số thích hợp và tải xuống bản cập nhật.
  • Bản cập nhật hợp pháp được lưu trữ trong cơ sở hạ tầng BigNox có thể đã được thay thế bằng phần mềm độc hại hoặc nó có thể là tên tệp, URL mới không hợp pháp.
  • Phần mềm độc hại được cài đặt trên máy của nạn nhân. Các tệp độc hại không được ký điện tử. Điều này cho thấy hệ thống BigNox không bị xâm phạm mà chỉ có hệ thống phân phối các bản cập nhật của NoxPlayer bị xâm nhập.
  • Phần mềm độc hại sẽ theo dõi hoạt động của máy tính nạn nhân và gửi thông tin đến các nhà khai thác phần mềm độc hại. Dựa trên một số bộ lọc không xác định, thủ phạm sẽ điều chỉnh các bản cập nhật độc hại đến nạn nhân dựa vào các yêu cầu cập nhật lẻ tẻ của NoxPlayer. Quá trình này sẽ được diễn ra liên tục, vòng tròn.

4. Các biến thể từ mã độc NoxPlayer

Biến thể thứ nhất

Phần mềm độc hại này truy cập vào C: \ Program Files \ Internet Explorer và chạy một trong hai tệp có tên DLL là : ieproxysocket64.dll hoặc ieproxysocket.dll.

Biến thể thứ hai 

Các thành phần trong biến thể độc hại này là:

  • C: \ ProgramData \ Sandboxie \ SandboxieBITS.exe.
  • C: \ ProgramData \ Sandboxie \ SbieDll.dll.
  • C:\ ProgramData\Sandboxie\SbieIni.dat.
  • C: \ Users \ Administrator \ AppData \ Local \ Temp \ delself.bat.
  • C: \ Windows \ System32 \ wmkawe_3636071.data.

Biến thể thứ ba

Biến thể này có hai thành phần gồm:

  • C: \ ProgramData \ LoGiTech \ LoGitech.exe
  • C: \ ProgramData \ LoGiTech \ LBTServ.dll

II. Cách kiểm tra phiên bản NoxPlayer có nhận được bản cập nhật độc hại hay không? 

1. Hướng dẫn nhanh

Mở trình quản lý Task Manager > Mở tab Processesxác định tiến trình đang chiếm dụng tài nguyên cao > Kích chuột phải vào tiến trình đó và chọn End Task nếu đó là tiến trình độc hại. 

2. Hướng dẫn chi tiết

Để kiểm tra phiên bản NoxPlayer trên thiết bị của bạn có nhận được bản cập nhật độc hại, các chuyên gia ESET đề nghị người dùng nên kiểm tra xem có tiến trình nào đang chạy nền và kết nối mạng với máy chủ C&C hay không.

Bước 1: Mở trình quản lý Task Manager bằng cách nhấn chuột phải vào thanh Taskbar > Chọn Task Manager.

Mở trình quản lý Task Manager

Mở trình quản lý Task Manager

Bước 2: Mở tab Processesxác định tiến trình đang chiếm dụng tài nguyên cao.

Kiểm tra tiến trình nào chiếm nhiều tài nguyên

Kiểm tra tiến trình nào chiếm nhiều tài nguyên

Bước 3: Kích chuột phải vào tiến trình đó và chọn End Task nếu đó là tiến trình độc hại. 

End Task mã độc

End Task mã độc

Nếu bạn vừa cập nhật NoxPlayer, bạn hãy gỡ cài đặt ứng dụng và vào cài đặt lại ứng dụng từ trang chủ Nox Player. Bạn hãy tham khảo bài viết Cách tải, cài đặt Nox Player để chơi game Android trên máy tính, PC.

III. Tổng hợp tên tệp có chứa mã độc

  • C:\ProgramData\Sandboxie\SbieIni.dat
  • C:\ProgramData\Sandboxie\SbieDll.dll
  • C:\ProgramData\LoGiTech\LBTServ.dll
  • C:\Program Files\Internet Explorer\ieproxysocket64.dll
  • C:\Program Files\Internet Explorer\ieproxysocket.dll
  • Tệp %LOCALAPPDATA%\Nox\update\UpdatePackageSilence.exe không được BigNox ký phát hành.

IV. Các URL cập nhật độc hại

  • http: //cdn.cloudfronter [.] com / player / upgrade / ext / 20201030/1/35e3797508c555d5f5e19f721cf94700.exe
  • http: //cdn.cloudfronter [.] com / player / upgrade / ext / 20201101/1 / bf571cb46afcexe
  • http: //cdn.cloudfronter [.] com / player / upgrade / ext / 20201123/1 / 2ca0a5f57ada25657552b384cf33c5ec.exe
  • http: //cdn.cloudfronter [.] com / player / upgrade / ext / 20201225/7c21bb4e5c767da80ab1271d84exe
  • http: //cdn.cloudfronter [.] com / player / lift / ext / 20201225/7c21bb4e5c767cc026d84exe 
  • http: //cdn.cloudfronter[.]com/player/upgrade/ext/20210119/842497c20072fc9b92f2b18e1d690103.exehttps: //cdn.cloudfronte [.] com / player / upgrade / ext / 20201020/1/c697ad8c21ce7aca0a98e6bb.exe
  • http: //dff6bb.exe cdn.cloudfronte [.] com / player / upgrade / ext / 20201030/1/35e3797508c555d5f5e19f721cf94700.exe
  • http: //res06.bignox [.] com / player / upgrade / 202009/6c99c19d6da741af943a35016bb05b35.exe
  • http: //res06.bignox [.] com / player / upgrade / 202009 / 42af40f99512443cbee03d090658da64.exe

Trên đây là bài viết hướng dẫn bạn cách kiểm tra phiên bản NoxPlayer có nhận được bản cập nhật độc hại hay không. Hy vọng bài viết sẽ có ích cho bạn. Nếu có thắc mắc, bạn hãy để lại bình luận dưới bài viết này nhé. Chúc các bạn thành công! 

Tin tức liên quan

Thảo luận về Bài tin game/ứng dụng tại thegioididong.com

Bạn vui lòng chờ trong giây lát...