Phân tích mã độc ăn cắp tiền ATMZombie
ATMZombie là mã độc ăn cắp tiền từ các tài khoản ngân hàng tại Israeli. Mã độc sau khi lây nhiễm vào máy tính nạn nhân thực hiện sửa đổi cấu hình proxy của trình duyệt đến server của mã độc. Khi nạn nhân đăng nhập tài khoản ngân hàng, thông tin sẽ bị mã độc ăn cắp qua proxy, lấy được tài khoản kẻ tấn công sẽ chuyển tiền của nạn nhân sang của mình.
Hôm nay, mình sẽ phân tích chi tiết mẫu này để các bạn nắm rõ được các thức một mã độc ăn cắp tiền.
Để thay đổi proxy. Mã độc tạo value AutoConfigURL trong registry
Chúng ta có thể thấy được server của mã độc ở hình ảnh trên. Và dưới đây là nội dung của file PE8.pac để bắt gói tin ăn cắp tài khoản của nạn nhân.
Để phòng ngừa mã độc ATMZombie cũng như các loại mã độc khác. Cần phải thường xuyên kiểm tra cấu hình proxy, cẩn thận dùng các phần mềm, usb...
Hôm nay, mình sẽ phân tích chi tiết mẫu này để các bạn nắm rõ được các thức một mã độc ăn cắp tiền.
Để thay đổi proxy. Mã độc tạo value AutoConfigURL trong registry
Chúng ta có thể thấy được server của mã độc ở hình ảnh trên. Và dưới đây là nội dung của file PE8.pac để bắt gói tin ăn cắp tài khoản của nạn nhân.
Để phòng ngừa mã độc ATMZombie cũng như các loại mã độc khác. Cần phải thường xuyên kiểm tra cấu hình proxy, cẩn thận dùng các phần mềm, usb...
Chỉnh sửa lần cuối bởi người điều hành: