WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Mã độc keylogger hoạt động trên nền web
Một mã độc ghi lại hoạt động bàn phím (keylogger) chạy trên nền web có tên ScanBox đang được tin tặc sử dụng để tấn công vào một số tổ chức tại Mỹ, Trung Quốc, Hàn Quốc và Nhật Bản.
Trong các chiến dịch tấn công có mục tiêu, tin tặc thường nghiên cứu thói quen duyệt web của nhóm nạn nhân và đưa mã độc lên một website cụ thể nào đó mà các nạn nhân thường ghé thăm, sau đó lây nhiễm vào máy tính. Trong trường hợp của ScanBox, mã độc này cũng được đưa lên một số website cụ thể, nhưng không hoạt động từ ổ cứng máy tính mà tiến hành ghi lại thao tác bàn phím của nạn nhân bằng mã JavaScript có khả năng biến đổi tùy theo trình duyệt mà nạn nhân sử dụng.
Nhiều biến thể khác nhau trong cách triển khai mã độc keylogger ScanBox
Được phát hiện lần đầu vào tháng 8 do các nhà nghiên cứu tại hãng an ninh mạng AlienVault, ScanBox đã được theo dõi một cách chặt chẽ. Mã độc này được ghi nhận là nhắm vào 4 website: 1 liên quan tới ngành công nghiệp của Nhật Bản, 1 liên quan tới tộc người Duy Ngô Nhĩ ở Trung Quốc, 1 viện nghiên cứu tại Hoa Kỳ và 1 dịch vụ home-stay tại Hàn Quốc.
Sự đa dạng trong mục tiêu tấn công cho thấy không chỉ có 1 thủ phạm đứng sau ScanBox. Phân tích sâu hơn, các nhà nghiên cứu phát hiện nhiều biến thể khác nhau trong cách triển khai mã độc này. Trong một số trường hợp, mã độc tải bổ sung một cách có chọn lọc các plug-in khác từ nhiều file độc lập, hoặc cũng có thể được thực thi trong một gói JavaScript duy nhất.
Lý do để mã độc này tải thêm các plug-in khác là để tránh gây ra crash hoặc lỗi website có thể gây nghi ngờ, do các loại trình duyệt khác nhau tương thích với plug-in khác nhau.
Tùy vào loại trình duyệt mà nạn nhân sử dụng, ScanBox có thể triển khai đoạn mã do thám để phát hiện nền tảng mà nạn nhân sử dụng là Flash, SharePoint, Adobe PDF Reader hay Java. Một số nền tảng trong đó, bao gồm JavaScript keylogger, có thể hoạt động trên bất cứ trình duyệt phổ biến nào hiện nay như IE, Firefox, Chrome hay Safari.
Nguồn: Softpedia
Trong các chiến dịch tấn công có mục tiêu, tin tặc thường nghiên cứu thói quen duyệt web của nhóm nạn nhân và đưa mã độc lên một website cụ thể nào đó mà các nạn nhân thường ghé thăm, sau đó lây nhiễm vào máy tính. Trong trường hợp của ScanBox, mã độc này cũng được đưa lên một số website cụ thể, nhưng không hoạt động từ ổ cứng máy tính mà tiến hành ghi lại thao tác bàn phím của nạn nhân bằng mã JavaScript có khả năng biến đổi tùy theo trình duyệt mà nạn nhân sử dụng.
Nhiều biến thể khác nhau trong cách triển khai mã độc keylogger ScanBox
Được phát hiện lần đầu vào tháng 8 do các nhà nghiên cứu tại hãng an ninh mạng AlienVault, ScanBox đã được theo dõi một cách chặt chẽ. Mã độc này được ghi nhận là nhắm vào 4 website: 1 liên quan tới ngành công nghiệp của Nhật Bản, 1 liên quan tới tộc người Duy Ngô Nhĩ ở Trung Quốc, 1 viện nghiên cứu tại Hoa Kỳ và 1 dịch vụ home-stay tại Hàn Quốc.
Sự đa dạng trong mục tiêu tấn công cho thấy không chỉ có 1 thủ phạm đứng sau ScanBox. Phân tích sâu hơn, các nhà nghiên cứu phát hiện nhiều biến thể khác nhau trong cách triển khai mã độc này. Trong một số trường hợp, mã độc tải bổ sung một cách có chọn lọc các plug-in khác từ nhiều file độc lập, hoặc cũng có thể được thực thi trong một gói JavaScript duy nhất.
Lý do để mã độc này tải thêm các plug-in khác là để tránh gây ra crash hoặc lỗi website có thể gây nghi ngờ, do các loại trình duyệt khác nhau tương thích với plug-in khác nhau.
Tùy vào loại trình duyệt mà nạn nhân sử dụng, ScanBox có thể triển khai đoạn mã do thám để phát hiện nền tảng mà nạn nhân sử dụng là Flash, SharePoint, Adobe PDF Reader hay Java. Một số nền tảng trong đó, bao gồm JavaScript keylogger, có thể hoạt động trên bất cứ trình duyệt phổ biến nào hiện nay như IE, Firefox, Chrome hay Safari.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: