Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trojan ngân hàng Slembunk nhắm tới người dùng trên toàn thế giới
Các chuyên gia vừa đưa ra cảnh báo về chiến dịch tấn công sử dụng trojan ngân hàng “SlemBunk” tại các khu vực Bắc Mỹ, châu Âu và khu vực châu Á Thái Bình Dương. Cùng thời điểm, một trojan trên Android khác cũng được phát hiện, với khả năng qua mặt cơ chế xác thực 2 bước bằng giọng nói.
SlemBunk được phát hiện lần đầu tiên vào giữa tháng 12/2015. Các chuyên gia FireEye đã đưa ra thông báo về mã độc khi phát hiện 170 mẫu SlemBunk nhắm tới người dùng 33 ứng dụng. Các ứng dụng này do tổ chức tài chính và nhà cung cấp dịch vụ tại Bắc Mỹ, châu Âu và khu vực châu Á Thái Bình Dương cung cấp.
Các ứng dụng ẩn chứa trojan được phát tán qua website độc hại, giả dạng ứng dụng hợp pháp như Adobe Flash Player. Một khi lây nhiễm thiết bị Android, mã độc sẽ giám sát tiến trình để hiển thị trang phishing khi phát hiện tiến trình kết nối tới ứng dụng đích. Trang phishing này sẽ lừa người dùng cung cấp các thông tin nhạy cảm.
Các chuyên gia cho biết việc lây nhiễm của SlemBunk trên thiết bị nạn nhân kéo dài hơn so với đánh giá ban đầu. Đầu tiên, khi nạn nhân truy cập vào một trong những trang web do tin tặc kiểm soát, một drive-by download (phương thức tấn công đặc biệt nguy hại) sẽ được khởi tạo và ứng dụng dropper SlemBunk được phát tán.
Dropper này che giấu payload và sẽ mở logic cần thiết để khôi phục một dowloader. Cuối cùng, downloader truy vấn máy chủ C&C đã được tùy chỉnh trước đó và phát tán payload cuối cùng thông qua tải ứng dụng.
Cơ chế này sẽ khiến các chuyên gia gặp khó khăn hơn trong việc lần dấu nguồn gốc các cuộc tấn công, cho phép mã độc tồn tại lâu hơn trên thiết bị nạn nhân.
Việc phân tích cơ sở hạ tầng C&C được SlemBunk sử dụng cho thấy chiến dịch được tổ chức khá kỹ lưỡng và đang tiếp tục phát triển. Giao diện quản trị hiện diện trên máy chủ C&C cho thấy tin tặc có thể tùy chỉnh cách thức máy chủ cung cấp payload cuối cùng cho downloader.
Các chuyên gia vừa xác định một số tên miền C&C được đăng ký vào nhiều thời điểm khác nhau trong năm 2015. Cách thức tin tặc thiết lập cơ sở hạ tầng C&C cho thấy chiến dịch này có thể phát triển thành các dạng khác nhau.
Symantec cũng vừa phân tích một trojan nhắm tới thiết bị Android có tên Android.Bankosy. Đây là một trojan tài chính có khả năng lấy cắp đoạn mã xác thực 2 bước bằng giọng nói. Cơ chế xác thực này được một số tổ chức bắt đầu sử dụng sau khi xuất hiện mã độc có khả năng can thiệp tiến trình xác thực 2 bước bằng SMS.
Nguồn: SecurityWeek
SlemBunk được phát hiện lần đầu tiên vào giữa tháng 12/2015. Các chuyên gia FireEye đã đưa ra thông báo về mã độc khi phát hiện 170 mẫu SlemBunk nhắm tới người dùng 33 ứng dụng. Các ứng dụng này do tổ chức tài chính và nhà cung cấp dịch vụ tại Bắc Mỹ, châu Âu và khu vực châu Á Thái Bình Dương cung cấp.
Các ứng dụng ẩn chứa trojan được phát tán qua website độc hại, giả dạng ứng dụng hợp pháp như Adobe Flash Player. Một khi lây nhiễm thiết bị Android, mã độc sẽ giám sát tiến trình để hiển thị trang phishing khi phát hiện tiến trình kết nối tới ứng dụng đích. Trang phishing này sẽ lừa người dùng cung cấp các thông tin nhạy cảm.
Các chuyên gia cho biết việc lây nhiễm của SlemBunk trên thiết bị nạn nhân kéo dài hơn so với đánh giá ban đầu. Đầu tiên, khi nạn nhân truy cập vào một trong những trang web do tin tặc kiểm soát, một drive-by download (phương thức tấn công đặc biệt nguy hại) sẽ được khởi tạo và ứng dụng dropper SlemBunk được phát tán.
Dropper này che giấu payload và sẽ mở logic cần thiết để khôi phục một dowloader. Cuối cùng, downloader truy vấn máy chủ C&C đã được tùy chỉnh trước đó và phát tán payload cuối cùng thông qua tải ứng dụng.
Cơ chế này sẽ khiến các chuyên gia gặp khó khăn hơn trong việc lần dấu nguồn gốc các cuộc tấn công, cho phép mã độc tồn tại lâu hơn trên thiết bị nạn nhân.
Việc phân tích cơ sở hạ tầng C&C được SlemBunk sử dụng cho thấy chiến dịch được tổ chức khá kỹ lưỡng và đang tiếp tục phát triển. Giao diện quản trị hiện diện trên máy chủ C&C cho thấy tin tặc có thể tùy chỉnh cách thức máy chủ cung cấp payload cuối cùng cho downloader.
Các chuyên gia vừa xác định một số tên miền C&C được đăng ký vào nhiều thời điểm khác nhau trong năm 2015. Cách thức tin tặc thiết lập cơ sở hạ tầng C&C cho thấy chiến dịch này có thể phát triển thành các dạng khác nhau.
Symantec cũng vừa phân tích một trojan nhắm tới thiết bị Android có tên Android.Bankosy. Đây là một trojan tài chính có khả năng lấy cắp đoạn mã xác thực 2 bước bằng giọng nói. Cơ chế xác thực này được một số tổ chức bắt đầu sử dụng sau khi xuất hiện mã độc có khả năng can thiệp tiến trình xác thực 2 bước bằng SMS.
Nguồn: SecurityWeek