Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Xuất hiện biến thể nguy hiểm mới của trojan ngân hàng Dyre
Trojan ngân hàng Dyre vừa được tin tặc bổ sung tính năng sử dụng chính chứng chỉ SSL của nó để kết nối với server điều khiển C&C.
Tiến hành phân tích mẫu trojan mới, các chuyên gia Proofpoint phát hiện malware sử dụng chứng chỉ số do Internet Widgits Pty Ltd cung cấp. Các kết nối tới server điều khiển được thực hiện qua các cổng 443 và 4443. Việc kết nối bằng chứng chỉ số gây khó khăn hơn cho các giải pháp bảo mật trong việc phát hiện lưu lượng mạng bất hợp pháp.
Biến thể mới nhất của Dyre cũng được trang bị tính năng mới “browsersnapshot”, cho phép thu thập dữ liệu từ trình duyệt như cookies, chứng chỉ máy khách và các khóa bí mật từ kho chứng chỉ của Windows (Windows Certificate Store). Kho này cung cấp cơ sở dữ liệu chứng chỉ (certificate database) cho Internet Explorer và Firefox.
Biến thể mới của Dyre cũng thống kê các chương trình được cài đặt và các dịch vụ đang chạy trên máy tính bị xâm nhập. Tin tặc thường nghiên cứu các dữ liệu này để xây dựng các cuộc tấn công hiệu quả nhắm vào máy nạn nhân, hoặc tạo cơ sở cho các phương thức tấn công nhắm vào một nhóm người dùng cụ thể.
Khi đã xác định mục tiêu, trojan tải về máy theo lệnh từ server điều khiển C&C. Điều này khiến cho malware trở thành công cụ linh hoạt hơn, cho phép tin tặc thêm hoặc bỏ bớt mục tiêu tùy theo nhu cầu.
Các chuyên gia phát hiện Salesforce.com nằm trong số các mục tiêu của tin tặc. Có thể khách hàng sử dụng CRM của hãng đã bị tấn công bằng chính biến thể này hồi đầu tháng.
“Biến thể mới này của Dyre cho thấy sự thích nghi nhanh chóng của malware nhằm đối phó với các hàng rào an ninh mới nhất, đồng thời cho thấy nỗ lực của các nhóm tin tặc nhằm theo đuổi các mục tiêu mới. Dyre và các malware khác sẽ tiếp tục tiến hóa nhanh chóng theo thời gian”, Proofpoint cảnh báo.
PhishMe lần đầu tiên báo cáo về trojan Dyre vào tháng 6/2014. Sau khi phân tích, các chuyên gia đã phát hiện trojan này có thể qua mặt cơ chế SSL trong trình duyệt thông qua kỹ thuật man-in-the-middle. Hình thức tấn công này cho phép tin tặc can thiệp vào dữ liệu đã mã hóa mà không để lại dấu vết nào cho thấy kết nối đã bị xâm nhập.
Trojan Dyre được thiết kế chuyên lấy cắp thông tin ngân hàng từ người dùng. Các nạn nhân đầu tiên bị tấn công bằng trojan này là ngân hàng Bank of America, Citigroup, Ngân hàng Hoàng Gia Scotland, Ulsterbank và tổ chức tài chính Natwest.
Tiến hành phân tích mẫu trojan mới, các chuyên gia Proofpoint phát hiện malware sử dụng chứng chỉ số do Internet Widgits Pty Ltd cung cấp. Các kết nối tới server điều khiển được thực hiện qua các cổng 443 và 4443. Việc kết nối bằng chứng chỉ số gây khó khăn hơn cho các giải pháp bảo mật trong việc phát hiện lưu lượng mạng bất hợp pháp.
Biến thể mới nhất của Dyre cũng được trang bị tính năng mới “browsersnapshot”, cho phép thu thập dữ liệu từ trình duyệt như cookies, chứng chỉ máy khách và các khóa bí mật từ kho chứng chỉ của Windows (Windows Certificate Store). Kho này cung cấp cơ sở dữ liệu chứng chỉ (certificate database) cho Internet Explorer và Firefox.
Biến thể mới của Dyre cũng thống kê các chương trình được cài đặt và các dịch vụ đang chạy trên máy tính bị xâm nhập. Tin tặc thường nghiên cứu các dữ liệu này để xây dựng các cuộc tấn công hiệu quả nhắm vào máy nạn nhân, hoặc tạo cơ sở cho các phương thức tấn công nhắm vào một nhóm người dùng cụ thể.
Khi đã xác định mục tiêu, trojan tải về máy theo lệnh từ server điều khiển C&C. Điều này khiến cho malware trở thành công cụ linh hoạt hơn, cho phép tin tặc thêm hoặc bỏ bớt mục tiêu tùy theo nhu cầu.
Các chuyên gia phát hiện Salesforce.com nằm trong số các mục tiêu của tin tặc. Có thể khách hàng sử dụng CRM của hãng đã bị tấn công bằng chính biến thể này hồi đầu tháng.
“Biến thể mới này của Dyre cho thấy sự thích nghi nhanh chóng của malware nhằm đối phó với các hàng rào an ninh mới nhất, đồng thời cho thấy nỗ lực của các nhóm tin tặc nhằm theo đuổi các mục tiêu mới. Dyre và các malware khác sẽ tiếp tục tiến hóa nhanh chóng theo thời gian”, Proofpoint cảnh báo.
PhishMe lần đầu tiên báo cáo về trojan Dyre vào tháng 6/2014. Sau khi phân tích, các chuyên gia đã phát hiện trojan này có thể qua mặt cơ chế SSL trong trình duyệt thông qua kỹ thuật man-in-the-middle. Hình thức tấn công này cho phép tin tặc can thiệp vào dữ liệu đã mã hóa mà không để lại dấu vết nào cho thấy kết nối đã bị xâm nhập.
Trojan Dyre được thiết kế chuyên lấy cắp thông tin ngân hàng từ người dùng. Các nạn nhân đầu tiên bị tấn công bằng trojan này là ngân hàng Bank of America, Citigroup, Ngân hàng Hoàng Gia Scotland, Ulsterbank và tổ chức tài chính Natwest.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: