DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phần mềm độc hại ZE Loader nhắm mục tiêu người sử dụng ngân hàng trực tuyến
Các nhà nghiên cứu bảo mật của IBM đã phát hiện ra một loại phần mềm độc hại sử dụng kỹ thuật "overlays" mới (overlays là một cửa sổ nhỏ hiện lên giữa màn hình, để thu hút sự chú ý của người dùng) nhắm vào người dùng ngân hàng trực tuyến.
ZE Loader là một ứng dụng Windows độc hại đánh dữ liệu tài chính từ nạn nhân bằng cách thiết lập kết nối thông qua một backdoor. Tuy nhiên, không giống như các Trojan ngân hàng điển hình, ZE Loader sử dụng nhiều kỹ thuật nâng cao để ẩn và tồn tại vĩnh viễn trên các thiết bị bị nhiễm.
Phần mềm độc hại này đang nhắm mục tiêu vào các ngân hàng, bộ xử lý thanh toán trực tuyến, các sàn giao dịch tiền điện tử và có thể tương tác với thiết bị của nạn nhân trong thời gian thực, do đó hiệu quả của việc tấn công là rất cao. Mỗi khi một thiết bị bị nhiễm, kẻ tấn công sẽ nhận được thông báo theo thời gian thực và có thể kiếm soát thiết bị từ xa. Phần mềm độc hại sẽ thực hiện các hoạt động sau:
Phần mềm độc hại liên tục giám sát các quy trình mới và các phiên trình duyệt đang hoạt động. Nếu phát hiện nạn nhân đang cố gắng tải một trong các trang web ngân hàng trực tuyến hoặc một ứng dụng mà Trojan nhắm mục tiêu, kẻ tấn công sẽ nhận được thông báo. Sau khi kết nối thông qua RDP, kẻ tấn công có thể bắt đầu thực hiện các lệnh. Thông thường, ZE Loader sẽ hiển thị nội dung lừa đảo được lưu trữ trong tệp JDK_SDK. Kẻ tấn công sử dụng nhiều hình thức khác nhau để lấy dữ liệu. Ví dụ: chúng có thể yêu cầu nạn nhân cung cấp thông tin đăng nhập, dữ liệu thẻ tín dụng, xác thực hai yếu tố...
Mặc dù ZE Loader không sử dụng các cuộc tấn công overlays phức tạp, nhưng nó vẫn là một phần mềm độc hại rất nguy hiểm. Để tránh các cuộc tấn công bởi phần mềm độc hại, người dùng cần cập nhật các công cụ chống virus và học cách duyệt web an toàn.
ZE Loader là một ứng dụng Windows độc hại đánh dữ liệu tài chính từ nạn nhân bằng cách thiết lập kết nối thông qua một backdoor. Tuy nhiên, không giống như các Trojan ngân hàng điển hình, ZE Loader sử dụng nhiều kỹ thuật nâng cao để ẩn và tồn tại vĩnh viễn trên các thiết bị bị nhiễm.
Phần mềm độc hại này đang nhắm mục tiêu vào các ngân hàng, bộ xử lý thanh toán trực tuyến, các sàn giao dịch tiền điện tử và có thể tương tác với thiết bị của nạn nhân trong thời gian thực, do đó hiệu quả của việc tấn công là rất cao. Mỗi khi một thiết bị bị nhiễm, kẻ tấn công sẽ nhận được thông báo theo thời gian thực và có thể kiếm soát thiết bị từ xa. Phần mềm độc hại sẽ thực hiện các hoạt động sau:
- Thực hiện các kỹ thuật khác nhau để đảm bảo rằng Trojan luôn chạy với quyền quản trị viên
- Thiết lập kết nối giao thức máy tính từ xa (RDP) với máy chủ ra lệnh và kiểm soát
- ZE Loader cho phép nhiều kết nối RDP trên thiết bị bị nhiễm bằng cách sử dụng Windows Registry.
- Tạo một tài khoản người dùng với tên Administart0r và mật khẩu là 123mudar
- Đảm bảo các kết nối RDP không bị tường lửa chặn
Phần mềm độc hại liên tục giám sát các quy trình mới và các phiên trình duyệt đang hoạt động. Nếu phát hiện nạn nhân đang cố gắng tải một trong các trang web ngân hàng trực tuyến hoặc một ứng dụng mà Trojan nhắm mục tiêu, kẻ tấn công sẽ nhận được thông báo. Sau khi kết nối thông qua RDP, kẻ tấn công có thể bắt đầu thực hiện các lệnh. Thông thường, ZE Loader sẽ hiển thị nội dung lừa đảo được lưu trữ trong tệp JDK_SDK. Kẻ tấn công sử dụng nhiều hình thức khác nhau để lấy dữ liệu. Ví dụ: chúng có thể yêu cầu nạn nhân cung cấp thông tin đăng nhập, dữ liệu thẻ tín dụng, xác thực hai yếu tố...
Mặc dù ZE Loader không sử dụng các cuộc tấn công overlays phức tạp, nhưng nó vẫn là một phần mềm độc hại rất nguy hiểm. Để tránh các cuộc tấn công bởi phần mềm độc hại, người dùng cần cập nhật các công cụ chống virus và học cách duyệt web an toàn.
Theo: securityintelligence
Chỉnh sửa lần cuối bởi người điều hành: