WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Phát hiện trojan ngân hàng Bolek có khả năng tự lây lan
Bolek, một loại trojan ngân hàng mới xuất hiện, sinh ra từ mã nguồn bị rò rỉ của trojan ngân hàng Carberp và Zeus. Tin tặc đã xáo trộn mã của 2 trojan này để tạo ra một mã độc hoàn toàn mới, nhắm mục tiêu vào khách hàng của các ngân hàng Nga.
Các nhà nghiên cứu tại CERT Ba Lan là những người đầu tiên phát hiện trojan này vào giữa tháng 5, khi điều tra một chiến dịch lừa đảo có nguồn gốc trong nước và nhận thấy sự tương đồng nhỏ giữa Bolek và module KBot của Carberp.
Hai ngày sau đó, hãng PhishMe của Mỹ mở rộng các kết quả nghiên cứu của CERT Ba Lan cùng với một báo cáo toàn diện về cách thức hoạt động Bolek, đồng thời chỉ ra những điểm tương đồng rõ ràng giữa Bolek và Carberp.
Mối đe dọa mới nhất trên thị trường mã độc tài chính
Nhiều báo cáo sau đó cũng nói về trojan này, đầu tiên là của Dr.Web, sau đó là từ Arbor Networks, được đưa ra đầu tháng 6. Trong khi báo cáo của Arbor tập trung vào các liên lạc với máy chủ C&C của Bolek, thì báo cáo Dr.Web đưa ra một bài phân tích chế độ hoạt động của trojan, cùng với các điểm tương đồng giữa Bolek, Carberp và cả trojan Zeus.
Dr.Web cho biết trojan được trang bị đầy đủ các tính năng để tấn công hệ sinh thái ngân hàng hiện nay. Bolek có thể ăn cắp thông tin đăng nhập từ các ứng dụng ngân hàng trực tuyến bằng cách tự chèn chính mình vào một tiến trình duyệt web, chụp ảnh màn hình máy tính người dùng, chặn lưu lượng web, khóa tổ hợp phím hoặc có thể tạo ra một máy chủ proxy nội bộ để lấy các tập tin từ máy tính bị lây nhiễm.
Bolek có thể nhắm mục tiêu đến các trình duyệt Microsoft Internet Explorer, Google Chrome, Opera và Mozilla Firefox, đồng thời đính kèm phiên bản nhúng của Mimikatz, một ứng dụng kết xuất mật khẩu.
Các điểm tương đồng giữa Bolek với Carberp và Zeus
Thành phần Bolek mượn từ Carberp là hệ thống tập tin ảo tùy biến, được trojan này sử dụng để lưu trữ các tập tin khác nhau cần thiết cho hoạt động của mình, để không bị các phần mềm an ninh phát hiện.
Trong trường hợp của Zeus, Bolek mượn cơ chế chèn web, cho phép khai thác các tiến trình duyệt web và chiếm quyền điều khiển toàn bộ trang khi người dùng truy cập một cổng thông tin ngân hàng trực tuyến.
Hơn nữa, trojan này có thể lây nhiễm cả máy tính Windows 32-bit và 64-bit, và khi được hướng dẫn, còn có thể mở một kết nối đảo ngược tới hacker thông qua RDP (Giao thức máy tính bàn từ xa).
Bolek cũng có thể lây nhiễm các file để phát tán sang các máy tính khác
Mặc dù tất cả các tính năng trên đều nguy hiểm, nhưng chưa phải là tính năng thú vị nhất mà Dr.Web chỉ ra. Sau khi lây nhiễm mục tiêu, hacker tạo ra Bolek có thể gửi lệnh đến trojan này và kích hoạt cơ chế tự lây nhiễm giống như worm.
Tính năng này cho phép Bolek lây lan sang các file khác trên cùng hệ thống tập tin hoặc ổ đĩa USB.
"Mục đích chính của Trojan.Bolik.1 là ăn cắp thông tin bí mật," hãng Dr.Web giải thích. "Chức năng và cấu trúc của Trojan.Bolik.1 rất tinh vi, khiến nó thực sự nguy hiểm đối với người dùng Windows".
Các nhà nghiên cứu tại CERT Ba Lan là những người đầu tiên phát hiện trojan này vào giữa tháng 5, khi điều tra một chiến dịch lừa đảo có nguồn gốc trong nước và nhận thấy sự tương đồng nhỏ giữa Bolek và module KBot của Carberp.
Hai ngày sau đó, hãng PhishMe của Mỹ mở rộng các kết quả nghiên cứu của CERT Ba Lan cùng với một báo cáo toàn diện về cách thức hoạt động Bolek, đồng thời chỉ ra những điểm tương đồng rõ ràng giữa Bolek và Carberp.
Mối đe dọa mới nhất trên thị trường mã độc tài chính
Nhiều báo cáo sau đó cũng nói về trojan này, đầu tiên là của Dr.Web, sau đó là từ Arbor Networks, được đưa ra đầu tháng 6. Trong khi báo cáo của Arbor tập trung vào các liên lạc với máy chủ C&C của Bolek, thì báo cáo Dr.Web đưa ra một bài phân tích chế độ hoạt động của trojan, cùng với các điểm tương đồng giữa Bolek, Carberp và cả trojan Zeus.
Dr.Web cho biết trojan được trang bị đầy đủ các tính năng để tấn công hệ sinh thái ngân hàng hiện nay. Bolek có thể ăn cắp thông tin đăng nhập từ các ứng dụng ngân hàng trực tuyến bằng cách tự chèn chính mình vào một tiến trình duyệt web, chụp ảnh màn hình máy tính người dùng, chặn lưu lượng web, khóa tổ hợp phím hoặc có thể tạo ra một máy chủ proxy nội bộ để lấy các tập tin từ máy tính bị lây nhiễm.
Bolek có thể nhắm mục tiêu đến các trình duyệt Microsoft Internet Explorer, Google Chrome, Opera và Mozilla Firefox, đồng thời đính kèm phiên bản nhúng của Mimikatz, một ứng dụng kết xuất mật khẩu.
Các điểm tương đồng giữa Bolek với Carberp và Zeus
Thành phần Bolek mượn từ Carberp là hệ thống tập tin ảo tùy biến, được trojan này sử dụng để lưu trữ các tập tin khác nhau cần thiết cho hoạt động của mình, để không bị các phần mềm an ninh phát hiện.
Trong trường hợp của Zeus, Bolek mượn cơ chế chèn web, cho phép khai thác các tiến trình duyệt web và chiếm quyền điều khiển toàn bộ trang khi người dùng truy cập một cổng thông tin ngân hàng trực tuyến.
Hơn nữa, trojan này có thể lây nhiễm cả máy tính Windows 32-bit và 64-bit, và khi được hướng dẫn, còn có thể mở một kết nối đảo ngược tới hacker thông qua RDP (Giao thức máy tính bàn từ xa).
Bolek cũng có thể lây nhiễm các file để phát tán sang các máy tính khác
Mặc dù tất cả các tính năng trên đều nguy hiểm, nhưng chưa phải là tính năng thú vị nhất mà Dr.Web chỉ ra. Sau khi lây nhiễm mục tiêu, hacker tạo ra Bolek có thể gửi lệnh đến trojan này và kích hoạt cơ chế tự lây nhiễm giống như worm.
Tính năng này cho phép Bolek lây lan sang các file khác trên cùng hệ thống tập tin hoặc ổ đĩa USB.
"Mục đích chính của Trojan.Bolik.1 là ăn cắp thông tin bí mật," hãng Dr.Web giải thích. "Chức năng và cấu trúc của Trojan.Bolik.1 rất tinh vi, khiến nó thực sự nguy hiểm đối với người dùng Windows".
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: