Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Botnet phát tán mã độc “lừa nhấp chuột” lây nhiễm gần 1 triệu máy tính
Trong hơn 2 năm qua, một nhóm tin tặc đã lây nhiễm gần một triệu thiết bị máy tính với mã độc “tráo” kết quả tìm kiếm, ngay cả khi người dùng sử dụng kết nối mã hóa HTTPS.
Theo các chuyên gia, botnet “lừa nhấp chuột” đã kiếm tiền cho kẻ đứng sau nó thông qua Google AdSense của chương trình tìm kiếm. Đây vốn là chương trình dành cho chủ nhân các website nhằm thay thế kết quả tìm kiếm thông thường của Google trên các website để kiếm lợi nhuận khi người dùng click vào các quảng cáo hiển thị trên kết quả tìm kiếm.
Thay vì sử dụng chương trình này, những kẻ đứng sau bonet can thiệp vào việc tìm kiếm của Google, Bing và Yahoo mà người dùng sử dụng trên thiết bị. Từ đó tin tặc thay thế các kết quả hợp pháp bằng kết quả qua kỹ thuật tìm kiếm của mình. Để thực hiện điều này, tin tặc sử dụng mã độc có tên Redirector.Paco.
Từ giữa tháng 9/2014, Redirector.Pace đã lây nhiễm hơn 900.000 máy tính trên khắp thế giới, chủ yếu tại Ấn Độ, Malaysia, Hy Lạp, Mỹ, Ý, Pakistan, Brazil và Algeria.
Mã độc tồn tại trong các bộ cài đã được tin tặc điều chỉnh của các chương trình phổ biến trên Internet như WinRAR, Connectify, YouTube Downloader, Stardock Start8 và KMSPico. Một khi cài đặt trên máy tính, Redirector.Paco điều chỉnh cấu hình Internet để sử dụng một máy chủ web proxy mà tin tặc chỉ định trong tập tin PAC (proxy auto-config).
Mã độc có 2 biến thể chính: một tồn tại trong tập tin PAC và proxy được host trên máy chủ từ xa, biến thể còn lại tồn tại trong tập tin và proxy được host trên máy tính nội bộ. Trong cả 2 trường hợp, mã độc cài đặt một chứng thư root tự tạo trong kho chứng thư của máy tính để tạo các chứng thư giả mạo cho Google, Yahoo, và Bing. Các chứng thư này sẽ được trình duyệt của nạn nhân chấp nhận.
Đây chính là hình thức tấn công MitM. Proxy thiết lập một kết nối tới công cụ tìm kiếm, thay thế kết quả thông thường bằng kết quả từ kỹ thuật tìm kiếm của tin tặc, mã hóa lại trang bằng chứng thư SSL tự tạo cho tên miền, và sau đó sử dụng cho trình duyệt của người dùng. Chứng thư tên miền được ký trên thiết bị giờ đây được nhận mà không có bất kỳ thông báo lỗi nào.
Với phiên bản mã độc mà tập tin PAC và proxy được lưu trên máy chủ từ xa, cả quá trình này sẽ có độ trễ đáng kể và người dùng thường thấy các thông báo như “waiting for proxy tunnel” (chờ đường dẫn proxy) hoặc “downloading proxy script” (đang tải script proxy) trên thanh trạng thái của trình duyệt.
Phiên bản mã độc còn lại được viết trên .NET sẽ cài đặt máy chủ MitM nội bộ trên máy tính, do đó ảnh hưởng của mã độc đối với việc duyệt web thông thường là không đáng kể. Tính năng can thiệp HTTPS được cung cấp bởi thư viện .NET của bên thứ 3 có tên FiddlerCore.
Các chuyên gia cho biết, không giống như Superfish - chương trình chèn quảng cáo được thêm vào một số máy tính Lenovo vào năm 2014, Redirector.Paco cài đặt các chứng thư root trên mọi máy tính lây nhiễm. Điều này có nghĩa, các tin tặc khác không thể lọc khóa private của chứng thư từ một thiết bị lây nhiễm sau đó sử dụng để thực hiện tấn công MitM toàn bộ người dùng bị lây nhiễm mã độc.
Theo các chuyên gia, botnet “lừa nhấp chuột” đã kiếm tiền cho kẻ đứng sau nó thông qua Google AdSense của chương trình tìm kiếm. Đây vốn là chương trình dành cho chủ nhân các website nhằm thay thế kết quả tìm kiếm thông thường của Google trên các website để kiếm lợi nhuận khi người dùng click vào các quảng cáo hiển thị trên kết quả tìm kiếm.
Thay vì sử dụng chương trình này, những kẻ đứng sau bonet can thiệp vào việc tìm kiếm của Google, Bing và Yahoo mà người dùng sử dụng trên thiết bị. Từ đó tin tặc thay thế các kết quả hợp pháp bằng kết quả qua kỹ thuật tìm kiếm của mình. Để thực hiện điều này, tin tặc sử dụng mã độc có tên Redirector.Paco.
Từ giữa tháng 9/2014, Redirector.Pace đã lây nhiễm hơn 900.000 máy tính trên khắp thế giới, chủ yếu tại Ấn Độ, Malaysia, Hy Lạp, Mỹ, Ý, Pakistan, Brazil và Algeria.
Mã độc tồn tại trong các bộ cài đã được tin tặc điều chỉnh của các chương trình phổ biến trên Internet như WinRAR, Connectify, YouTube Downloader, Stardock Start8 và KMSPico. Một khi cài đặt trên máy tính, Redirector.Paco điều chỉnh cấu hình Internet để sử dụng một máy chủ web proxy mà tin tặc chỉ định trong tập tin PAC (proxy auto-config).
Mã độc có 2 biến thể chính: một tồn tại trong tập tin PAC và proxy được host trên máy chủ từ xa, biến thể còn lại tồn tại trong tập tin và proxy được host trên máy tính nội bộ. Trong cả 2 trường hợp, mã độc cài đặt một chứng thư root tự tạo trong kho chứng thư của máy tính để tạo các chứng thư giả mạo cho Google, Yahoo, và Bing. Các chứng thư này sẽ được trình duyệt của nạn nhân chấp nhận.
Đây chính là hình thức tấn công MitM. Proxy thiết lập một kết nối tới công cụ tìm kiếm, thay thế kết quả thông thường bằng kết quả từ kỹ thuật tìm kiếm của tin tặc, mã hóa lại trang bằng chứng thư SSL tự tạo cho tên miền, và sau đó sử dụng cho trình duyệt của người dùng. Chứng thư tên miền được ký trên thiết bị giờ đây được nhận mà không có bất kỳ thông báo lỗi nào.
Với phiên bản mã độc mà tập tin PAC và proxy được lưu trên máy chủ từ xa, cả quá trình này sẽ có độ trễ đáng kể và người dùng thường thấy các thông báo như “waiting for proxy tunnel” (chờ đường dẫn proxy) hoặc “downloading proxy script” (đang tải script proxy) trên thanh trạng thái của trình duyệt.
Phiên bản mã độc còn lại được viết trên .NET sẽ cài đặt máy chủ MitM nội bộ trên máy tính, do đó ảnh hưởng của mã độc đối với việc duyệt web thông thường là không đáng kể. Tính năng can thiệp HTTPS được cung cấp bởi thư viện .NET của bên thứ 3 có tên FiddlerCore.
Các chuyên gia cho biết, không giống như Superfish - chương trình chèn quảng cáo được thêm vào một số máy tính Lenovo vào năm 2014, Redirector.Paco cài đặt các chứng thư root trên mọi máy tính lây nhiễm. Điều này có nghĩa, các tin tặc khác không thể lọc khóa private của chứng thư từ một thiết bị lây nhiễm sau đó sử dụng để thực hiện tấn công MitM toàn bộ người dùng bị lây nhiễm mã độc.
Nguồn: PCWorld