WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Trojan ngân hàng GozNym cập nhật kỹ thuật tấn công điều hướng
GozNym, trojan ngân hàng được phát hiện cách đây hai tháng, vừa có thêm thủ thuật tấn công điều hướng để nhắm vào các dịch vụ ngân hàng kinh doanh cấp cao tại Mỹ.
Trong phiên bản đầu, trojan này sử dụng kỹ thuật Web injection, dựa vào các DLL độc hại được tải lên trình duyệt của người dùng để hiển thị lớp phủ ở đầu trang, khi người dùng truy cập một cổng thông tin ngân hàng được hỗ trợ bởi các module của trojan.
Tấn công Web injection khá phổ biến, và các lây nhiễm Web của GozNym được thừa kế từ trojan ngân hàng Gozi. Thực tế, tên GozNym là kết hợp của trojan Gozi và mã độc Nymaim.
GozNym thêm hỗ trợ tấn công chuyển hướng từ tháng Tư
Hai tuần sau khi kỹ thuật tấn công của GozNym được công bố, những kẻ đứng sau mã độc đã thêm kỹ thuật “tấn công chuyển hướng” vào phương thức hoạt động của mình. Ban đầu, trojan chỉ triển khai tấn công này ở Ba Lan, nhắm mục tiêu vào 230 URL thuộc 17 tổ chức tài chính.
Một cuộc tấn công chuyển hướng xảy ra khi mã độc chuyển hướng người dùng đến một cổng thông tin ngân hàng giả, được quản lý bởi kẻ lừa đảo. Để lừa người dùng, kẻ tấn công sử dụng mã độc để hiển thị URL đúng và chứng chỉ SSL thực sự của ngân hàng trong thanh địa chỉ trên trình duyệt.
Hiện chỉ có GozNym và Dridex sử dụng tấn công chuyển hướng
Tấn công chuyển hướng trở nên nổi tiếng bởi các trojan ngân hàng như Dyre và Dridex.
Các cuộc tấn công này rất khó phát hiện và là công cụ chính của các nhóm tội phạm vì rất tốn kém cả về tài chính và nguồn nhân lực.
Kẻ đứng sau GozNym cần cả hạ tầng máy chủ để lưu trữ tất cả các bản sao cổng thông tin ngân hàng và các nhà phát triển để liên tục cập nhật các trang web giả mạo để trông giống như những trang thật.
"Trong hầu hết các trường hợp, GozNym chuyển hướng trang chủ của ngân hàng, nhưng đó không phải là trang duy nhất mà mã độc có thể chuyển hướng", nhà nghiên cứu của IBM giải thích. "Có trường hợp GozNym chuyển hướng các trang khác đến trang bản sao để buộc nạn nhân nhập thông tin đăng nhập".
Sau botnet Dyre, GozNym và Dridex là những trojan ngân hàng sử dụng tấn công chuyển hướng.
Theo thống kê của IBM, GozNym xếp thứ 5 trong số các botnet trojan ngân hàng hoạt động nhiều nhất những tháng đầu năm 2016. Dridex xếp thứ hai.
Bonet trojan ngân hàng hoạt động mạnh nhất những tháng đầu năm 2016
Theo Softpedia
Trong phiên bản đầu, trojan này sử dụng kỹ thuật Web injection, dựa vào các DLL độc hại được tải lên trình duyệt của người dùng để hiển thị lớp phủ ở đầu trang, khi người dùng truy cập một cổng thông tin ngân hàng được hỗ trợ bởi các module của trojan.
Tấn công Web injection khá phổ biến, và các lây nhiễm Web của GozNym được thừa kế từ trojan ngân hàng Gozi. Thực tế, tên GozNym là kết hợp của trojan Gozi và mã độc Nymaim.
GozNym thêm hỗ trợ tấn công chuyển hướng từ tháng Tư
Hai tuần sau khi kỹ thuật tấn công của GozNym được công bố, những kẻ đứng sau mã độc đã thêm kỹ thuật “tấn công chuyển hướng” vào phương thức hoạt động của mình. Ban đầu, trojan chỉ triển khai tấn công này ở Ba Lan, nhắm mục tiêu vào 230 URL thuộc 17 tổ chức tài chính.
Một cuộc tấn công chuyển hướng xảy ra khi mã độc chuyển hướng người dùng đến một cổng thông tin ngân hàng giả, được quản lý bởi kẻ lừa đảo. Để lừa người dùng, kẻ tấn công sử dụng mã độc để hiển thị URL đúng và chứng chỉ SSL thực sự của ngân hàng trong thanh địa chỉ trên trình duyệt.
Hiện chỉ có GozNym và Dridex sử dụng tấn công chuyển hướng
Tấn công chuyển hướng trở nên nổi tiếng bởi các trojan ngân hàng như Dyre và Dridex.
Các cuộc tấn công này rất khó phát hiện và là công cụ chính của các nhóm tội phạm vì rất tốn kém cả về tài chính và nguồn nhân lực.
Kẻ đứng sau GozNym cần cả hạ tầng máy chủ để lưu trữ tất cả các bản sao cổng thông tin ngân hàng và các nhà phát triển để liên tục cập nhật các trang web giả mạo để trông giống như những trang thật.
"Trong hầu hết các trường hợp, GozNym chuyển hướng trang chủ của ngân hàng, nhưng đó không phải là trang duy nhất mà mã độc có thể chuyển hướng", nhà nghiên cứu của IBM giải thích. "Có trường hợp GozNym chuyển hướng các trang khác đến trang bản sao để buộc nạn nhân nhập thông tin đăng nhập".
Sau botnet Dyre, GozNym và Dridex là những trojan ngân hàng sử dụng tấn công chuyển hướng.
Theo thống kê của IBM, GozNym xếp thứ 5 trong số các botnet trojan ngân hàng hoạt động nhiều nhất những tháng đầu năm 2016. Dridex xếp thứ hai.
Bonet trojan ngân hàng hoạt động mạnh nhất những tháng đầu năm 2016
Theo Softpedia
Chỉnh sửa lần cuối bởi người điều hành: