WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Phát hiện mã độc Dyre mới đánh cắp thông tin ngân hàng
Trong quá trình điều tra chiến dịch lừa đảo mà những kẻ tấn công sử dụng Dropbox để phát tán ransomware, các nhà nghiên cứu của PhishMe đã phát hiện một chiến dịch tương tự sử dụng một dòng malware mới.
Malware - Dyre - được thiết kế chủ yếu để đánh cắp thông tin ngân hàng và nhắm tới các ngân hàng cụ thể gồm Bank of America, Citigroup Natwest, Citibank, RBS, và Ulsterbank. Nó có khả năng giám sát network traffic và bypass cơ chế SSL trong các trình duyệt, bí mật thay đổi network traffic, chuyển hướng người dùng quay lại các trang web hợp pháp. Nó sử dụng kỹ thuật “browser hooking” để đánh cắp dữ liệu đăng nhập trước khi thông tin đó bị mã hóa. Khi dữ liệu đã được xử lý, trình duyệt của người dùng chỏ tới HTTPS và vẫn được mã hóa ngay cả sau khi gửi thông tin mà không có dấu hiệu nào về việc máy tính của họ bị nhiễm mã độc. Thêm vào đó, chỉ cần một thay đổi nhỏ là malware có khả năng đánh cắp thông tin đăng nhập Facebook, Gmail hay bất kì một tài khoản nào khác thông qua HTTPS”. Ông Tokazowski nhà nghiên cứu cao cấp của PhishMe cho hay.
Dyre đầu tiên được nhận dạng trong một chiến dịch lừa đảo mà có lẽ cùng một tác giả của chiến dịch lừa đảo Dropbox tuần trước với hơn 350.000 trường hợp lây nhiễm ransomware và thiệt hại hơn 70.000 $ trên Bitcoin.
Thời điểm này, người dùng nên cẩn trọng với những email tự xưng là có thông tin về hóa đơn hay thuế, liên kết người nhận đến Cubby, một dịch vụ tương tự Dropbox. Khi file ZIP được tải về và mở, người dùng chạy file screensaver sẽ ngay lập tức bị nhiễm Dyre.
Mặc dù khá tương tự với các malware khác nhưng ông Tokazowski đã thực hiện nghiên cứu mã nguồn mở trên diện rộng - dựa trên strings, domains, infrastructure, code... và không thể tìm thấy bất cứ điều gì để chứng minh phần mềm độc hại Dyre đã được ghi nhận trước đó.
Malware - Dyre - được thiết kế chủ yếu để đánh cắp thông tin ngân hàng và nhắm tới các ngân hàng cụ thể gồm Bank of America, Citigroup Natwest, Citibank, RBS, và Ulsterbank. Nó có khả năng giám sát network traffic và bypass cơ chế SSL trong các trình duyệt, bí mật thay đổi network traffic, chuyển hướng người dùng quay lại các trang web hợp pháp. Nó sử dụng kỹ thuật “browser hooking” để đánh cắp dữ liệu đăng nhập trước khi thông tin đó bị mã hóa. Khi dữ liệu đã được xử lý, trình duyệt của người dùng chỏ tới HTTPS và vẫn được mã hóa ngay cả sau khi gửi thông tin mà không có dấu hiệu nào về việc máy tính của họ bị nhiễm mã độc. Thêm vào đó, chỉ cần một thay đổi nhỏ là malware có khả năng đánh cắp thông tin đăng nhập Facebook, Gmail hay bất kì một tài khoản nào khác thông qua HTTPS”. Ông Tokazowski nhà nghiên cứu cao cấp của PhishMe cho hay.
Dyre đầu tiên được nhận dạng trong một chiến dịch lừa đảo mà có lẽ cùng một tác giả của chiến dịch lừa đảo Dropbox tuần trước với hơn 350.000 trường hợp lây nhiễm ransomware và thiệt hại hơn 70.000 $ trên Bitcoin.
Thời điểm này, người dùng nên cẩn trọng với những email tự xưng là có thông tin về hóa đơn hay thuế, liên kết người nhận đến Cubby, một dịch vụ tương tự Dropbox. Khi file ZIP được tải về và mở, người dùng chạy file screensaver sẽ ngay lập tức bị nhiễm Dyre.
Mặc dù khá tương tự với các malware khác nhưng ông Tokazowski đã thực hiện nghiên cứu mã nguồn mở trên diện rộng - dựa trên strings, domains, infrastructure, code... và không thể tìm thấy bất cứ điều gì để chứng minh phần mềm độc hại Dyre đã được ghi nhận trước đó.
Chỉnh sửa lần cuối bởi người điều hành: