WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Mã độc tống tiền TorrentLocker nhắm vào người dùng nước Anh
Loại mã độc tống tiền (ransomware) có tên TorrentLocker mới được phát hiện với khả năng mã hóa dữ liệu đang nhắm vào người dùng tại Anh khi giả mạo là email thông báo của Bưu điện Hoàng gia nước này.
Trong email giả mạo, tin tặc chèn 1 đường link và hướng dẫn người dùng ấn vào để tải về một công cụ theo dõi thông tin chuyển phát của bưu kiện. Nếu làm theo, người dùng sẽ tải về một mã độc dưới dạng file thực thi từ website lừa đảo của tin tặc và kích hoạt TorrentLocker.
Website giả mạo là trang theo dõi chuyển phát bưu kiện của Bưu điện Hoàng gia Anh
Hãng bảo mật ESET cho hay một vụ việc tương tự đã xảy ra vào tháng 8 khi TorrentLocker nhắm vào người dùng Australia bằng cách giả mạo là trang theo dõi thông tin chuyển phát bưu kiện của bưu điện nước này. Tuy nhiên đến ngày 2/9, ESET phát hiện TorrentLocker khởi động một chiến dịch mới chỉ tập trung vào các nạn nhân tại Anh.
Tin tặc sử dụng một hệ thống lọc IP để người dùng đến từ các nước khác không truy cập được website lừa đảo và điều hướng truy cập đến trang chủ Google.
Sau khi được kích hoạt, mã độc ngay lập tức tiến hành mã hóa dữ liệu lưu trữ trên hệ thống. Sau khi hoàn tất, một thông báo tống tiền được hiển thị yêu cầu người dùng trả 350 bảng Anh (khoảng 12 triệu đồng) trong vòng 72 giờ. Nếu không tuân theo, số tiền chuộc lại dữ liệu sẽ tăng gấp đôi.
Như các mã độc tống tiền khác, tin tặc đòi tiền chuộc bằng Bitcoin để tránh bị nhận diện. Ngoài ra, tin tặc còn sử dụng một máy chủ .onion trong mạng ẩn danh TOR để che giấu hạ tầng của mình.
Để nạn nhân dễ dàng truy cập website lừa đảo hơn, TorrentLocker dẫn đường link đến các nút mạng Tor2Web để người dùng không phải cài thêm phần mềm để truy cập mạng TOR như thông thường. Có vẻ như tin tặc có hẳn một tên miền của một nút mạng TOR dành riêng để phục vụ TorrentLocker, bởi tên miền này mới được đăng ký cách đây 2 tuần.
Các nhà phân tích nhận định kẻ chủ mưu đứng sau 2 vụ việc tại Australia và Anh chỉ là một, bởi tuy sử dụng 2 địa chỉ ví Bitcoin nhưng 2 địa chỉ đều chuyển tiền đến cùng 1 tài khoản. Và có vẻ một đường dây tội phạm lớn đang điều hành hoạt động của TorrentLocker, bởi tài khoản ở điểm cuối ghi nhận các giao dịch với giá trị lên tới 82.272 Bitcoin. Với tỉ giá hiện nay, số Bitcoin này quy đổi ra khoảng 40 triệu đôla Mỹ. Tuy nhiên, tài khoản này cũng gắn với một số hoạt động tội phạm khác và có khả năng là địa chỉ để giao dịch với nhiều nhóm tội phạm khác nhau.
Nguồn: Softpedia
Trong email giả mạo, tin tặc chèn 1 đường link và hướng dẫn người dùng ấn vào để tải về một công cụ theo dõi thông tin chuyển phát của bưu kiện. Nếu làm theo, người dùng sẽ tải về một mã độc dưới dạng file thực thi từ website lừa đảo của tin tặc và kích hoạt TorrentLocker.
Website giả mạo là trang theo dõi chuyển phát bưu kiện của Bưu điện Hoàng gia Anh
Hãng bảo mật ESET cho hay một vụ việc tương tự đã xảy ra vào tháng 8 khi TorrentLocker nhắm vào người dùng Australia bằng cách giả mạo là trang theo dõi thông tin chuyển phát bưu kiện của bưu điện nước này. Tuy nhiên đến ngày 2/9, ESET phát hiện TorrentLocker khởi động một chiến dịch mới chỉ tập trung vào các nạn nhân tại Anh.
Tin tặc sử dụng một hệ thống lọc IP để người dùng đến từ các nước khác không truy cập được website lừa đảo và điều hướng truy cập đến trang chủ Google.
Sau khi được kích hoạt, mã độc ngay lập tức tiến hành mã hóa dữ liệu lưu trữ trên hệ thống. Sau khi hoàn tất, một thông báo tống tiền được hiển thị yêu cầu người dùng trả 350 bảng Anh (khoảng 12 triệu đồng) trong vòng 72 giờ. Nếu không tuân theo, số tiền chuộc lại dữ liệu sẽ tăng gấp đôi.
Như các mã độc tống tiền khác, tin tặc đòi tiền chuộc bằng Bitcoin để tránh bị nhận diện. Ngoài ra, tin tặc còn sử dụng một máy chủ .onion trong mạng ẩn danh TOR để che giấu hạ tầng của mình.
Để nạn nhân dễ dàng truy cập website lừa đảo hơn, TorrentLocker dẫn đường link đến các nút mạng Tor2Web để người dùng không phải cài thêm phần mềm để truy cập mạng TOR như thông thường. Có vẻ như tin tặc có hẳn một tên miền của một nút mạng TOR dành riêng để phục vụ TorrentLocker, bởi tên miền này mới được đăng ký cách đây 2 tuần.
Các nhà phân tích nhận định kẻ chủ mưu đứng sau 2 vụ việc tại Australia và Anh chỉ là một, bởi tuy sử dụng 2 địa chỉ ví Bitcoin nhưng 2 địa chỉ đều chuyển tiền đến cùng 1 tài khoản. Và có vẻ một đường dây tội phạm lớn đang điều hành hoạt động của TorrentLocker, bởi tài khoản ở điểm cuối ghi nhận các giao dịch với giá trị lên tới 82.272 Bitcoin. Với tỉ giá hiện nay, số Bitcoin này quy đổi ra khoảng 40 triệu đôla Mỹ. Tuy nhiên, tài khoản này cũng gắn với một số hoạt động tội phạm khác và có khả năng là địa chỉ để giao dịch với nhiều nhóm tội phạm khác nhau.
Nguồn: Softpedia