Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
7 chiêu trò phổ biến của botnet ngân hàng
Botnet ngân hàng đã và đang là mối nguy hại cho các ngân hàng và tổ chức tài chính vài năm trở lại đây.
Tin tặc đã biến năm 2015 thành một năm tiêu điểm nữa cho botnet ngân hàng thông qua cải tiến các kỹ thuật tấn công để truy cập vào tài khoản của người dùng. Theo báo cáo mới đây của Dell SecureWorks, các mã độc tiếp tục tinh chỉnh tính năng, kỹ thuật và tiến trình của phiên bản năm ngoái. Báo cáo cũng cho biết tin tặc đã sử dụng trojan ngân hàng để nhắm tới hơn 1.500 tổ chức tài chính tại trên 100 quốc gia.
Dưới đây là các cách thức tin tặc sử dụng duy trì và phát triển botnet ngân hàng.
Tập trung khai thác điểm yếu trên thiết bị di động
Các cuộc tấn công nhắm vào nền tảng banking trên thiết bị di động, cải tiến tính năng qua mặt cơ chế xác thực cấp cao như 2FA (xác thực 2 bước) và TANs (số xác thực giao dịch) phát triển nở rộ năm 2015.
Xu hướng này là để nhắm trực tiếp vào động thái chuyển đổi khách hàng sang sử dụng nền tảng di động cho các giao dịch ngân hàng và hoạt động thanh toán. Tin tặc đồng thời lợi dụng sự thiếu hụt cơ chế bảo vệ trên hầu hết các thiết bị di động của người dùng.
Sử dụng kết nối HTTPS để ẩn mình
Trojan ngân hàng hiện nay tăng khả năng ẩn mình trước các công nghệ giám sát mạng và chặn phạm vi. Các chuyên gia cảnh báo rằng, nhiều trojan ngân hàng sử dụng cổng 443 và HTTPS để mã hóa kết nối đến và đi với các máy chủ C&C.
Khai thác các mục tiêu mới
Các trojan ngân hàng đang tăng cường mở rộng đối tượng nạn nhân. Minh chứng là, nhiều trojan đang nhắm tới các nhà cung cấp dịch vụ đám mây, kho ứng dụng, kho công nghệ… để lây nhiễm hàng loạt nền tảng di động.
Các chuyên gia cho biết, mã độc cũng nhắm tới các trang mạng xã hội, dịch vụ email, cổng tuyển dụng, các website giải trí, nhà cung cấp hosting, hãng điện thoại, trang hẹn hò…với tấn công social engineering và spam.
Tăng cường nhắm tới các doanh nghiệp vừa và nhỏ
Không chỉ nhắm tới người dùng cá nhân, tin tặc cũng “gài bẫy” các doanh nghiệp vừa và nhỏ. Năm 2015, hàng loạt doanh nghiệp vừa và nhỏ đã trở thành nạn nhân của trojan ngân hàng.
Sử dụng Tor và I2P để không bị đánh sập
Để có thể duy trì hoạt động trong thời gian dài, các botnet ngân hàng sử dụng các chiêu thức như: tích hợp giải pháp backup C&C thông qua các tên miền backup DGQ, sử dụng các router bị xâm nhập như các máy chủ proxy để che giấu máy chủ C&C thực, host payload trên các website bị xâm nhập, sử dụng mạng peer-to-peer để tránh bị giám sát. Ngoài ra, tin tặc che giấu và bảo vệ cơ sở hạ tầng của mình bằng các dịch vụ nặc danh như Tor và I2P.
Mở rộng phạm vi hoạt động
Trong khi phần lớn các cuộc tấn công của trojan ngân hàng nhắm tới các mục tiêu tại Mỹ, tin tặc cũng tìm kiếm các “mảnh đất màu mỡ hơn” thông qua mở rộng khu vực địa lý mục tiêu.
Năm 2015 chứng kiến sự tăng lên của số vụ tấn công bằng mã độc ngân hàng nhắm vào khu vực châu Á – Thái Bình Dương, Trung Đông và Đông Âu.
Tăng cường tính năng mã độc
Ngoài một số kỹ thuật đã kể ở trên, nhiều botnet ngân hàng và trojan cũng tinh chỉnh tính năng như thực hiện tấn công MITB (man-in-the-browser) để hijack phiên bản web của nạn nhân; truy cập vào thiết bị người dùng bằng mạng ảo để chuyển hướng lưu lượng tới các website độc hại; sử dụng backconnect để kiểm soát các giao dịch bất hợp pháp. Một số mã độc khác trang bị tính năng chụp màn hình và bắt video để lấy cắp thông tin quan trọng.
Tin tặc đã biến năm 2015 thành một năm tiêu điểm nữa cho botnet ngân hàng thông qua cải tiến các kỹ thuật tấn công để truy cập vào tài khoản của người dùng. Theo báo cáo mới đây của Dell SecureWorks, các mã độc tiếp tục tinh chỉnh tính năng, kỹ thuật và tiến trình của phiên bản năm ngoái. Báo cáo cũng cho biết tin tặc đã sử dụng trojan ngân hàng để nhắm tới hơn 1.500 tổ chức tài chính tại trên 100 quốc gia.
Dưới đây là các cách thức tin tặc sử dụng duy trì và phát triển botnet ngân hàng.
Tập trung khai thác điểm yếu trên thiết bị di động
Các cuộc tấn công nhắm vào nền tảng banking trên thiết bị di động, cải tiến tính năng qua mặt cơ chế xác thực cấp cao như 2FA (xác thực 2 bước) và TANs (số xác thực giao dịch) phát triển nở rộ năm 2015.
Xu hướng này là để nhắm trực tiếp vào động thái chuyển đổi khách hàng sang sử dụng nền tảng di động cho các giao dịch ngân hàng và hoạt động thanh toán. Tin tặc đồng thời lợi dụng sự thiếu hụt cơ chế bảo vệ trên hầu hết các thiết bị di động của người dùng.
Sử dụng kết nối HTTPS để ẩn mình
Trojan ngân hàng hiện nay tăng khả năng ẩn mình trước các công nghệ giám sát mạng và chặn phạm vi. Các chuyên gia cảnh báo rằng, nhiều trojan ngân hàng sử dụng cổng 443 và HTTPS để mã hóa kết nối đến và đi với các máy chủ C&C.
Khai thác các mục tiêu mới
Các trojan ngân hàng đang tăng cường mở rộng đối tượng nạn nhân. Minh chứng là, nhiều trojan đang nhắm tới các nhà cung cấp dịch vụ đám mây, kho ứng dụng, kho công nghệ… để lây nhiễm hàng loạt nền tảng di động.
Các chuyên gia cho biết, mã độc cũng nhắm tới các trang mạng xã hội, dịch vụ email, cổng tuyển dụng, các website giải trí, nhà cung cấp hosting, hãng điện thoại, trang hẹn hò…với tấn công social engineering và spam.
Tăng cường nhắm tới các doanh nghiệp vừa và nhỏ
Không chỉ nhắm tới người dùng cá nhân, tin tặc cũng “gài bẫy” các doanh nghiệp vừa và nhỏ. Năm 2015, hàng loạt doanh nghiệp vừa và nhỏ đã trở thành nạn nhân của trojan ngân hàng.
Sử dụng Tor và I2P để không bị đánh sập
Để có thể duy trì hoạt động trong thời gian dài, các botnet ngân hàng sử dụng các chiêu thức như: tích hợp giải pháp backup C&C thông qua các tên miền backup DGQ, sử dụng các router bị xâm nhập như các máy chủ proxy để che giấu máy chủ C&C thực, host payload trên các website bị xâm nhập, sử dụng mạng peer-to-peer để tránh bị giám sát. Ngoài ra, tin tặc che giấu và bảo vệ cơ sở hạ tầng của mình bằng các dịch vụ nặc danh như Tor và I2P.
Mở rộng phạm vi hoạt động
Trong khi phần lớn các cuộc tấn công của trojan ngân hàng nhắm tới các mục tiêu tại Mỹ, tin tặc cũng tìm kiếm các “mảnh đất màu mỡ hơn” thông qua mở rộng khu vực địa lý mục tiêu.
Năm 2015 chứng kiến sự tăng lên của số vụ tấn công bằng mã độc ngân hàng nhắm vào khu vực châu Á – Thái Bình Dương, Trung Đông và Đông Âu.
Tăng cường tính năng mã độc
Ngoài một số kỹ thuật đã kể ở trên, nhiều botnet ngân hàng và trojan cũng tinh chỉnh tính năng như thực hiện tấn công MITB (man-in-the-browser) để hijack phiên bản web của nạn nhân; truy cập vào thiết bị người dùng bằng mạng ảo để chuyển hướng lưu lượng tới các website độc hại; sử dụng backconnect để kiểm soát các giao dịch bất hợp pháp. Một số mã độc khác trang bị tính năng chụp màn hình và bắt video để lấy cắp thông tin quan trọng.
Nguồn: DarkReading