Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Biến thể mã độc CoreBot nhắm tới ngân hàng, tổ chức tài chính
Mã độc lấy cắp thông tin CoreBot được các chuyên gia phát hiện hồi cuối tháng 8 vừa được sử dụng để thu thập thông tin tài chính, ngân hàng và thực hiện các cuộc tấn công nhắm vào người dùng tại Canada, Mỹ và Anh.
Sau khi công bố chế độ hoạt động đơn giản của CoreBot, các chuyên gia nhận thấy các biến thể mới của mã độc có thêm tính năng lây nhiễm vào Web và hook trình duyệt.
Trong khi phiên bản đầu tiên của CoreBot chỉ có khả năng lấy cắp mật khẩu từ các trình duyệt, người dùng FTP, ứng dụng mail, tài khoản Webmail, chứng thư, ví điện tử và các phần mềm máy tính, biến thể mới của mã độc có thể hoạt động như một trojan ngân hàng.
CoreBot đã bổ sung thêm nhiều tính năng cao hơn trong nhân của nó. Là bởi bên cạnh khả năng lấy cắp thông tin, CoreBot giờ có thể hook vào trình duyệt thời gian thực, thu thập dữ liệu từ các mẫu dữ liệu của web, và thực hiện tấn công MitM để lấy cắp các phiên cookies.
Dữ liệu này sau đó được gửi tới các máy chủ điều khiển sử dụng hệ thống mạng tính toán ảo hóa VNC (Virtual Network Computing), CoreBot sẽ cho phép tin tặc chiếm quyền kiểm soát phiên trình duyệt từ xa.
Theo các chuyên gia an ninh mạng, CoreBot đã được thiết kế đặc biệt để nhắm tới các website ngân hàng trực tuyến, với danh sách 55 URL chứa mã độc để lây lan khi người dùng truy cập vào một website ngân hàng.
Những URL này nhắm tới các trang ngân hàng của 33 tổ chức tài chính, nhưng nó được xây dựng trên các biểu thức chính quy (regex), có nghĩa là nó cũng tương thích với website ngân hàng khác nếu như các đường link sử dụng các URL tương tự.
Các bước cơ bản của một cuộc tấn công sử dụng CoreBot
Đầu tiên, sau khi lây nhiễm máy tính, CoreBot sẽ chờ đợi, thu thập toàn bộ mật khẩu có thể, từ máy tính hoặc trình duyệt của người dùng (thậm chí trong thời gian thực).
CoreBot theo dõi quá trình hoạt động của trình duyệt người dùng và khi phát hiện người dùng truy cập một trang ngân hàng mã độc sẽ thu thập thông tin của nạn nhân.
Sau khi người dùng xác thực vào website, mã độc sẽ gửi một tin nhắn IM đến chủ sở hữu tài khoản, trong khi trì hoãn nạn nhân bằng việc hiển thị một tin nhắn “please wait”.
Nếu kẻ xấu đang trực tuyến, cũng có thể sử dụng dữ liệu mà CoreBot gửi đến (cookie của phiên sử dụng và thông tin người dùng), can thiệp thông tin giao dịch, khởi tạo các phiên giao dịch mới và chuyển hướng giao dịch tới tài khoản của tin tặc.
Sau khi công bố chế độ hoạt động đơn giản của CoreBot, các chuyên gia nhận thấy các biến thể mới của mã độc có thêm tính năng lây nhiễm vào Web và hook trình duyệt.
Trong khi phiên bản đầu tiên của CoreBot chỉ có khả năng lấy cắp mật khẩu từ các trình duyệt, người dùng FTP, ứng dụng mail, tài khoản Webmail, chứng thư, ví điện tử và các phần mềm máy tính, biến thể mới của mã độc có thể hoạt động như một trojan ngân hàng.
CoreBot đã bổ sung thêm nhiều tính năng cao hơn trong nhân của nó. Là bởi bên cạnh khả năng lấy cắp thông tin, CoreBot giờ có thể hook vào trình duyệt thời gian thực, thu thập dữ liệu từ các mẫu dữ liệu của web, và thực hiện tấn công MitM để lấy cắp các phiên cookies.
Dữ liệu này sau đó được gửi tới các máy chủ điều khiển sử dụng hệ thống mạng tính toán ảo hóa VNC (Virtual Network Computing), CoreBot sẽ cho phép tin tặc chiếm quyền kiểm soát phiên trình duyệt từ xa.
Theo các chuyên gia an ninh mạng, CoreBot đã được thiết kế đặc biệt để nhắm tới các website ngân hàng trực tuyến, với danh sách 55 URL chứa mã độc để lây lan khi người dùng truy cập vào một website ngân hàng.
Những URL này nhắm tới các trang ngân hàng của 33 tổ chức tài chính, nhưng nó được xây dựng trên các biểu thức chính quy (regex), có nghĩa là nó cũng tương thích với website ngân hàng khác nếu như các đường link sử dụng các URL tương tự.
Các bước cơ bản của một cuộc tấn công sử dụng CoreBot
Đầu tiên, sau khi lây nhiễm máy tính, CoreBot sẽ chờ đợi, thu thập toàn bộ mật khẩu có thể, từ máy tính hoặc trình duyệt của người dùng (thậm chí trong thời gian thực).
CoreBot theo dõi quá trình hoạt động của trình duyệt người dùng và khi phát hiện người dùng truy cập một trang ngân hàng mã độc sẽ thu thập thông tin của nạn nhân.
Sau khi người dùng xác thực vào website, mã độc sẽ gửi một tin nhắn IM đến chủ sở hữu tài khoản, trong khi trì hoãn nạn nhân bằng việc hiển thị một tin nhắn “please wait”.
Nếu kẻ xấu đang trực tuyến, cũng có thể sử dụng dữ liệu mà CoreBot gửi đến (cookie của phiên sử dụng và thông tin người dùng), can thiệp thông tin giao dịch, khởi tạo các phiên giao dịch mới và chuyển hướng giao dịch tới tài khoản của tin tặc.
Nguồn: Softpedia