Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trojan ngân hàng Dridex phát tán qua Macros của Microsoft Word
Tuần trước, các chuyên gia đã phát hiện hình thức phát tán mới của Trojan ngân hàng Dridex. Tin tặc đã cấy mã độc vào macro của tập tin Microsoft Word để phát tán malware vào máy tính của nạn nhân.
Dridex là biến thể mới nhất của Trojan Feodo/Bugat/Cridex mà sau đó đã phát triển thành Geodo. Dridex giữ nguyên khả năng lấy cắp thông tin của các phiên bản trước nhưng thay đổi phương thức xâm nhập bằng việc gửi các email có đính kèm file thực thi tớii máy tính nạn nhân.
Khách hàng của các ngân hàng tại Mỹ là đối tượng nhắm tới chủ yếu của tin tặc
Các chuyên gia của Palo Alto Networks cho biết về việc tin tặc đã cấy Trojan ngân hàng vào macro trong tập tin Word vào tuần trước. Macro là các script hướng dẫn để thực hiện các thao tác lặp đi lặp lại.
Microsoft đã biết đến việc macro có thể bị lợi dụng nên để tắt mặc định cho tính năng này trong các phần mềm của bộ Office. Tuy nhiên macro có thể được người dùng kích hoạt bất cứ lúc nào cho việc sử dụng.
Theo các chuyên gia, chiến dịch Dridex bắt đầu từ ngày 21 tháng 10. Tin tặc đã gửi mã độc đính kèm trong các email giả dạng các giấy tờ hóa đơn của thương hiệu, bao gồm cả của Humber Merchant.
Các email giả mạo chứa mã độc đã được phát hiện tại Anh, Đài Loan, Canada, Úc… Tuy nhiên có vẻ như quốc gia bị nhắm tới nhiều nhất là Mỹ với hơn một nửa số email được gửi tới người dùng tại quốc gia này.
Ngay khi các tập tin Word độc hại được mở, script chứa trong đó sẽ tải mã độc từ các website đã bị xâm nhập trước đó và thực thi mã độc trên hệ thống. Các biến thể khác của Dridex cũng được đưa vào các máy tính nạn nhân theo cách này, tất cả cùng nhắm tới mục đích: lấy cắp thông tin trên các trang ngân hàng trực tuyến để từ đó lấy cắp tài khoản người dùng.
Vô hiệu hóa macro trên Microsoft Word để ngăn chặn mã độc
Đầu tháng 9, chuyên gia phân tích của Abuse.ch cho biết không giống với biến thể Feodo trước đó là nhắm vào các tổ chức tài chính lớn tại Đức, Dridex thay đổi mục tiêu nhắm vào các ngân hàng Mỹ, Anh và Thụy Sỹ.
Abuse.ch xây dựng Feodo Tracker, dịch vụ được dùng để theo dõi server điều khiển C&C tin tặc sử dụng trong chiến dịch tấn công. Trong số 93 thiết bị được cài phần mềm theo dõi, hiện có 12 server online, 4 trong số đó đặt tại Nga.
Để bảo vệ máy tính khỏi Trojan ngân hàng Dridex, người dùng có thể vô hiệu hóa tính năng macro trong Microsoft Word cũng như các phần mềm khác trong bộ Office.
Khách hàng của các ngân hàng tại Mỹ là đối tượng nhắm tới chủ yếu của tin tặc
Các chuyên gia của Palo Alto Networks cho biết về việc tin tặc đã cấy Trojan ngân hàng vào macro trong tập tin Word vào tuần trước. Macro là các script hướng dẫn để thực hiện các thao tác lặp đi lặp lại.
Microsoft đã biết đến việc macro có thể bị lợi dụng nên để tắt mặc định cho tính năng này trong các phần mềm của bộ Office. Tuy nhiên macro có thể được người dùng kích hoạt bất cứ lúc nào cho việc sử dụng.
Theo các chuyên gia, chiến dịch Dridex bắt đầu từ ngày 21 tháng 10. Tin tặc đã gửi mã độc đính kèm trong các email giả dạng các giấy tờ hóa đơn của thương hiệu, bao gồm cả của Humber Merchant.
Các email giả mạo chứa mã độc đã được phát hiện tại Anh, Đài Loan, Canada, Úc… Tuy nhiên có vẻ như quốc gia bị nhắm tới nhiều nhất là Mỹ với hơn một nửa số email được gửi tới người dùng tại quốc gia này.
Ngay khi các tập tin Word độc hại được mở, script chứa trong đó sẽ tải mã độc từ các website đã bị xâm nhập trước đó và thực thi mã độc trên hệ thống. Các biến thể khác của Dridex cũng được đưa vào các máy tính nạn nhân theo cách này, tất cả cùng nhắm tới mục đích: lấy cắp thông tin trên các trang ngân hàng trực tuyến để từ đó lấy cắp tài khoản người dùng.
Vô hiệu hóa macro trên Microsoft Word để ngăn chặn mã độc
Đầu tháng 9, chuyên gia phân tích của Abuse.ch cho biết không giống với biến thể Feodo trước đó là nhắm vào các tổ chức tài chính lớn tại Đức, Dridex thay đổi mục tiêu nhắm vào các ngân hàng Mỹ, Anh và Thụy Sỹ.
Abuse.ch xây dựng Feodo Tracker, dịch vụ được dùng để theo dõi server điều khiển C&C tin tặc sử dụng trong chiến dịch tấn công. Trong số 93 thiết bị được cài phần mềm theo dõi, hiện có 12 server online, 4 trong số đó đặt tại Nga.
Để bảo vệ máy tính khỏi Trojan ngân hàng Dridex, người dùng có thể vô hiệu hóa tính năng macro trong Microsoft Word cũng như các phần mềm khác trong bộ Office.
Nguồn: Softpedia