Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc ngân hàng phát tán qua cơ sở dữ liệu SQL
Các chuyên gia an ninh mạng vừa phát hiện phương pháp mới được sử dụng để phát tán mã độc ngân hàng, đó là thông qua cơ sở dữ liệu SQL của Microsoft có sẵn trên mạng.
Hoạt động này thời gian gần đây được tin tặc sử dụng để nhắm tới những người dùng tại Brazil. Tuy nhiên tin tặc tại các khu vực khác trên thế giới cũng có thể nhanh chóng học tập cách thức này và thực hiện hành vi tương tự nhằm tránh sự phát hiện của các sản phẩm an ninh.
Mục đích cuối là lấy cắp mật khẩu
Các chuyên gia của Intel Security cho biết, một trong những ưu điểm của phương pháp lây lan mới đó là gây khó dễ cho hệ thống quản trị trong việc xác định nguồn lây nhiễm.
Thông thường, mã độc được host trên một tên miền (domain) do tin tặc đăng ký sử dụng hoặc một tên miền hợp pháp đã bị tin tặc xâm nhập trước đó. Người dùng sau đó bị lừa cài đặt mã độc downloader trên thiết bị. Mã độc này sau đó sẽ phát tán các mã độc khác vào hệ thống thông qua truy cập URL download.
Trong khi phân tích các chiến dịch spam, các chuyên gia phát hiện một mã độc downloader được viết bằng Visual Basic truy vấn một cơ sở dữ liệu trực tuyến để tải về mã độc cuối cùng. Mã độc này chính là một công cụ lấy cắp mật khẩu hỗ trợ cho nhiều mô-đun.
Chuyên gia Guilherme của Intel Security cho biết: “Một khi được thực thi trên thiết bị của người dùng, mã độc downloader sẽ kết nối tới máy chủ cơ sở dữ liệu bị lây nhiễm, gửi truy vấn, và tải các mã độc về”.
Lây lan qua email giả mạo liên quan đến tài chính
Ngoài việc lấy cắp thông tin lưu trữ trên trình duyệt web, mã độc có thể vô hiệu hóa G-Buster, một plugin được các tổ chức tài chính sử dụng để bảo vệ các phiên giao dịch trực tuyến của khách hàng. Một khả năng khác của mã độc là chụp ảnh màn hình khi các tài khoản tài chính được truy cập.
Các chuyên gia cho biết toàn bộ các thông tin trích xuất từ máy bị lây nhiễm cũng sẽ được lưu trên một cơ sở dữ liệu. Qua tìm hiểu, các chuyên gia phát hiện 6 nickname thuộc về các cá nhân liên quan đến việc phát tán và/hoặc phát triển mã độc.
Mã độc downloader ngân hàng lây lan qua các mail có chủ đề tài chính với file tài liệu đính kèm. Ngoài ra, tin tặc có thể cung cấp một link tải tài liệu thực chất dẫn đến một vị trí lưu trữ trên cloud chứa script (Google Docs hoặc Dropbox).
Hoạt động này thời gian gần đây được tin tặc sử dụng để nhắm tới những người dùng tại Brazil. Tuy nhiên tin tặc tại các khu vực khác trên thế giới cũng có thể nhanh chóng học tập cách thức này và thực hiện hành vi tương tự nhằm tránh sự phát hiện của các sản phẩm an ninh.
Mục đích cuối là lấy cắp mật khẩu
Các chuyên gia của Intel Security cho biết, một trong những ưu điểm của phương pháp lây lan mới đó là gây khó dễ cho hệ thống quản trị trong việc xác định nguồn lây nhiễm.
Thông thường, mã độc được host trên một tên miền (domain) do tin tặc đăng ký sử dụng hoặc một tên miền hợp pháp đã bị tin tặc xâm nhập trước đó. Người dùng sau đó bị lừa cài đặt mã độc downloader trên thiết bị. Mã độc này sau đó sẽ phát tán các mã độc khác vào hệ thống thông qua truy cập URL download.
Trong khi phân tích các chiến dịch spam, các chuyên gia phát hiện một mã độc downloader được viết bằng Visual Basic truy vấn một cơ sở dữ liệu trực tuyến để tải về mã độc cuối cùng. Mã độc này chính là một công cụ lấy cắp mật khẩu hỗ trợ cho nhiều mô-đun.
Chuyên gia Guilherme của Intel Security cho biết: “Một khi được thực thi trên thiết bị của người dùng, mã độc downloader sẽ kết nối tới máy chủ cơ sở dữ liệu bị lây nhiễm, gửi truy vấn, và tải các mã độc về”.
Lây lan qua email giả mạo liên quan đến tài chính
Ngoài việc lấy cắp thông tin lưu trữ trên trình duyệt web, mã độc có thể vô hiệu hóa G-Buster, một plugin được các tổ chức tài chính sử dụng để bảo vệ các phiên giao dịch trực tuyến của khách hàng. Một khả năng khác của mã độc là chụp ảnh màn hình khi các tài khoản tài chính được truy cập.
Các chuyên gia cho biết toàn bộ các thông tin trích xuất từ máy bị lây nhiễm cũng sẽ được lưu trên một cơ sở dữ liệu. Qua tìm hiểu, các chuyên gia phát hiện 6 nickname thuộc về các cá nhân liên quan đến việc phát tán và/hoặc phát triển mã độc.
Mã độc downloader ngân hàng lây lan qua các mail có chủ đề tài chính với file tài liệu đính kèm. Ngoài ra, tin tặc có thể cung cấp một link tải tài liệu thực chất dẫn đến một vị trí lưu trữ trên cloud chứa script (Google Docs hoặc Dropbox).
Nguồn: Softpedia