WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Trojan “nghe lén” mạng tấn công các ngân hàng lan tràn nhanh chóng
Từ trước đến nay, chúng ta mới chỉ thấy các Trojan ngân hàng gây ảnh hưởng tới các thiết bị mà chúng lây nhiễm, đồng thời đánh cắp thông tin tài chính nhằm bòn rút tiền của người dùng. Nhưng giờ đây, tác giả của loại mã độc này đang không ngừng tìm đến các công nghệ phức tạp hơn để nhắm tới nhiều mục tiêu nhất có thể.
Mã độc ngân hàng được trang bị chức năng nghe lén
Các nhà nghiên cứu của hãng Trend Micro vừa phát hiện ra một loại mã độc ngân hàng mới không chỉ đánh cắp thông tin người dùng từ các thiết bị bị lây nhiễm mà còn có khả năng “nghe lén” hoạt động mạng để lấy thông tin nhạy cảm của người dùng.
Mã độc này có tên là EMOTET và đang lây lan nhanh chóng qua đường link trong các email lừa đảo có nội dung liên quan đến giao dịch ngân hàng và các hóa đơn vận chuyển.
Nếu người dùng click vào đường link này, mã độc sẽ được cài vào hệ thống để download các tập tin thành phần, bao gồm file cấu hình và file DLL. File cấu hình chứa thông tin về ngân hàng mục tiêu, trong khi file DLL thực hiện việc theo dõi và ghi lại các gói tin gửi đi của hệ thống.
File DLL được tiêm vào tất cả các tiến trình của hệ thống, trong đó có trình duyệt web, sau đó so sánh các site được truy cập với các chuỗi nằm trong file cấu hình được download trước đó. Nếu các chuỗi này phù hợp, mã độc sẽ thu thập thông tin bằng cách nhận các URL được truy cập và dữ liệu được gửi.
Mã hóa dữ liệu đánh cắp
Mã độc lưu trữ các dữ liệu bị đánh cắp trong các thư mục riêng sau khi đã được mã hóa. Điều này có nghĩa chúng có thể đánh cắp và lưu bất khì thông tin nào hacker muốn.
Việc lưu trữ dữ liệu, file trong registry có thể xem như một phương pháp để lẩn trốn. Người sử dụng thông thường không kiểm tra các registry entry để nếu có các dấu hiệu những hoạt động đáng nghi trên file registry như thường làm với các file mới hay file lạ. Đây cũng là một biện pháp chống lại cơ chế phát hiện dựa trên nhận diện file của các AV.
Vượt qua kết nối https
Mã độc thậm chí còn có khả năng vượt qua kết nối https, đe dọa nghiêm trọng hơn tới an ninh của người dùng, bởi họ sẽ cảm thấy tự tin để tiếp tục giao dịch ngân hàng trực tuyến mà không hề nhận ra rằng thông tin của mình đang bị đánh cắp.
Đây là nguy cơ thực sự nguy hiểm bởi nếu những mã độc trước đây thường dựa trên việc yêu cầu người dùng điền thông tin vào một bản khai giả mạo hoặc nhờ vào các trang lừa đảo để đánh cắp thông tin tài chính của người dùng, thì với phương thức nghe lén mạng, EMOTET trở nên nguy hiểm hơn bởi nó không hề lộ dấu vết nào để người dùng có thể nhận thấy các hoạt động đáng nghi ngờ.
Quy mô lây lan
Mã độc này không hướng mục tiêu đến một quốc gia hay khu vực nào, tuy nhiên malware EMOTET đang ảnh hưởng tới một lượng lớn người dùng tại khu vực EMEA, cụ thể là tại Châu Âu, Trung Đông, Châu Phi, và Đức đứng đầu trong danh sách các quốc gia bị ảnh hưởng.
Người dùng được khuyến cáo không nên mở hay click vào các link và các file đính kèm trong các email không rõ ràng. Nếu nhận được thông tin đáng quan tâm từ phía ngân hàng, bạn nên xác nhận trước khi xử lý.
Nguồn: The Hacker News
Mã độc ngân hàng được trang bị chức năng nghe lén
Các nhà nghiên cứu của hãng Trend Micro vừa phát hiện ra một loại mã độc ngân hàng mới không chỉ đánh cắp thông tin người dùng từ các thiết bị bị lây nhiễm mà còn có khả năng “nghe lén” hoạt động mạng để lấy thông tin nhạy cảm của người dùng.
Mã độc này có tên là EMOTET và đang lây lan nhanh chóng qua đường link trong các email lừa đảo có nội dung liên quan đến giao dịch ngân hàng và các hóa đơn vận chuyển.
Nếu người dùng click vào đường link này, mã độc sẽ được cài vào hệ thống để download các tập tin thành phần, bao gồm file cấu hình và file DLL. File cấu hình chứa thông tin về ngân hàng mục tiêu, trong khi file DLL thực hiện việc theo dõi và ghi lại các gói tin gửi đi của hệ thống.
File DLL được tiêm vào tất cả các tiến trình của hệ thống, trong đó có trình duyệt web, sau đó so sánh các site được truy cập với các chuỗi nằm trong file cấu hình được download trước đó. Nếu các chuỗi này phù hợp, mã độc sẽ thu thập thông tin bằng cách nhận các URL được truy cập và dữ liệu được gửi.
Mã hóa dữ liệu đánh cắp
Mã độc lưu trữ các dữ liệu bị đánh cắp trong các thư mục riêng sau khi đã được mã hóa. Điều này có nghĩa chúng có thể đánh cắp và lưu bất khì thông tin nào hacker muốn.
Việc lưu trữ dữ liệu, file trong registry có thể xem như một phương pháp để lẩn trốn. Người sử dụng thông thường không kiểm tra các registry entry để nếu có các dấu hiệu những hoạt động đáng nghi trên file registry như thường làm với các file mới hay file lạ. Đây cũng là một biện pháp chống lại cơ chế phát hiện dựa trên nhận diện file của các AV.
Vượt qua kết nối https
Mã độc thậm chí còn có khả năng vượt qua kết nối https, đe dọa nghiêm trọng hơn tới an ninh của người dùng, bởi họ sẽ cảm thấy tự tin để tiếp tục giao dịch ngân hàng trực tuyến mà không hề nhận ra rằng thông tin của mình đang bị đánh cắp.
Đây là nguy cơ thực sự nguy hiểm bởi nếu những mã độc trước đây thường dựa trên việc yêu cầu người dùng điền thông tin vào một bản khai giả mạo hoặc nhờ vào các trang lừa đảo để đánh cắp thông tin tài chính của người dùng, thì với phương thức nghe lén mạng, EMOTET trở nên nguy hiểm hơn bởi nó không hề lộ dấu vết nào để người dùng có thể nhận thấy các hoạt động đáng nghi ngờ.
Quy mô lây lan
Mã độc này không hướng mục tiêu đến một quốc gia hay khu vực nào, tuy nhiên malware EMOTET đang ảnh hưởng tới một lượng lớn người dùng tại khu vực EMEA, cụ thể là tại Châu Âu, Trung Đông, Châu Phi, và Đức đứng đầu trong danh sách các quốc gia bị ảnh hưởng.
Người dùng được khuyến cáo không nên mở hay click vào các link và các file đính kèm trong các email không rõ ràng. Nếu nhận được thông tin đáng quan tâm từ phía ngân hàng, bạn nên xác nhận trước khi xử lý.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: