Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
[Update] Lợi dụng tài khoản PayPal phát tán trojan ngân hàng
Cập nhật ngày 30/07/2016: PayPal cho biết đã vá các lỗ hổng đang bị tin tặc khai thác.
“Dựa trên thông tin mà chúng tôi nhận được liên quan đến tính năng yêu cầu chuyển tiền bị lợi dụng để gửi đi email lừa đảo, chúng tôi đã bổ sung các giao thức an ninh nhằm bảo vệ khách hàng. Các giao thức này gần đây xác định một số hoạt động bất thường để phát tán mã độc đến khách hàng. Chúng tôi đã áp dụng các biện pháp giảm thiểu nhằm ngăn chặn việc lợi dụng tính năng này. Chúng tôi sẽ tiếp tục theo dõi và thông báo cũng như hỗ trợ bất kỳ khách hàng bị ảnh hưởng”.
Nguồn: V3
------------------------------------------------------------------------
Các chuyên gia cho biết, tin tặc đang lợi dụng PayPal để phát tán trojan ngân hàng Chtonic - một biến thể của mã độc “tai tiếng” Zeus.
Các email có số lượng ít và không bị lọc bởi anti-spam hoặc phần mềm diệt virus bởi được phát tán từ tài khoản PayPal hợp pháp.
"Nguồn gửi đi các email không phải giả mạo. Thay vào đó các thư spam gửi từ tài khoản PayPal được đăng ký hoặc lấy cắp và sau đó sử dụng để gửi yêu cầu chuyển tiền", các chuyên gia cho biết.
Tin tặc lợi dụng tính năng của PayPal cho phép người dùng gửi kèm thông báo khi gửi đi yêu cầu chuyển tiền.
"Tính năng yêu cầu chuyển tiền của PayPal cho phép thêm thông báo kèm theo yêu cầu, do đó tin tặc đã tạo một tin nhắn có kèm URL độc hại", các chuyên gia cho biết. "Có 2 nguy cơ, người dùng có thể bị lừa bằng kỹ thuật social engineering và gửi đi 100USD hoặc click vào liên kết và nhiễm mã độc. Hoặc cũng có thể là cả hai".
Khi người dùng click vào liên kết trong thông báo sẽ bị chuyển hướng đến một trang web không phải PayPal, tải một tập tin JavaScript có tên paypalTransactionDetails.jpeg.js. Mở tập tin JavaScript này là người dùng đã tải về một file thực thi.
Theo các chuyên gia, file thực thi này là Chthonic - biến thể của trojan ngân hàng Zeus. C&C của mã độc này là kingstonevikte [.] com.
Điều thú vị có lẽ là Chthonic sẽ tải thêm một payload thứ hai – mã độc đang được các chuyên gia tìm hiểu và chưa hề có tài liệu nào nhắc đến - AZORult.
May mắn là hiện tại chiến dịch tấn công khá hạn chế, có lẽ một phần do khó khăn trong việc mở hoặc lấy cắp tài khoản PayPal.
Google Analytics chỉ ra rằng URL độc hại được sử dụng là một liên kết Goo.gl và mới chỉ được click 27 lần.
“Dựa trên thông tin mà chúng tôi nhận được liên quan đến tính năng yêu cầu chuyển tiền bị lợi dụng để gửi đi email lừa đảo, chúng tôi đã bổ sung các giao thức an ninh nhằm bảo vệ khách hàng. Các giao thức này gần đây xác định một số hoạt động bất thường để phát tán mã độc đến khách hàng. Chúng tôi đã áp dụng các biện pháp giảm thiểu nhằm ngăn chặn việc lợi dụng tính năng này. Chúng tôi sẽ tiếp tục theo dõi và thông báo cũng như hỗ trợ bất kỳ khách hàng bị ảnh hưởng”.
Nguồn: V3
------------------------------------------------------------------------
Các chuyên gia cho biết, tin tặc đang lợi dụng PayPal để phát tán trojan ngân hàng Chtonic - một biến thể của mã độc “tai tiếng” Zeus.
Các email có số lượng ít và không bị lọc bởi anti-spam hoặc phần mềm diệt virus bởi được phát tán từ tài khoản PayPal hợp pháp.
"Nguồn gửi đi các email không phải giả mạo. Thay vào đó các thư spam gửi từ tài khoản PayPal được đăng ký hoặc lấy cắp và sau đó sử dụng để gửi yêu cầu chuyển tiền", các chuyên gia cho biết.
Tin tặc lợi dụng tính năng của PayPal cho phép người dùng gửi kèm thông báo khi gửi đi yêu cầu chuyển tiền.
"Tính năng yêu cầu chuyển tiền của PayPal cho phép thêm thông báo kèm theo yêu cầu, do đó tin tặc đã tạo một tin nhắn có kèm URL độc hại", các chuyên gia cho biết. "Có 2 nguy cơ, người dùng có thể bị lừa bằng kỹ thuật social engineering và gửi đi 100USD hoặc click vào liên kết và nhiễm mã độc. Hoặc cũng có thể là cả hai".
Khi người dùng click vào liên kết trong thông báo sẽ bị chuyển hướng đến một trang web không phải PayPal, tải một tập tin JavaScript có tên paypalTransactionDetails.jpeg.js. Mở tập tin JavaScript này là người dùng đã tải về một file thực thi.
Theo các chuyên gia, file thực thi này là Chthonic - biến thể của trojan ngân hàng Zeus. C&C của mã độc này là kingstonevikte [.] com.
Điều thú vị có lẽ là Chthonic sẽ tải thêm một payload thứ hai – mã độc đang được các chuyên gia tìm hiểu và chưa hề có tài liệu nào nhắc đến - AZORult.
May mắn là hiện tại chiến dịch tấn công khá hạn chế, có lẽ một phần do khó khăn trong việc mở hoặc lấy cắp tài khoản PayPal.
Google Analytics chỉ ra rằng URL độc hại được sử dụng là một liên kết Goo.gl và mới chỉ được click 27 lần.
Nguồn: V3
Chỉnh sửa lần cuối bởi người điều hành: