WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Mạng botnet Asprox lợi dụng Viber để phát tán malware
Tội phạm mạng vừa phát động một chiến dịch malware mới nhằm mở rộng quy mô cho mạng botnet Asprox bằng cách giả mạo email thông báo cuộc gọi nhỡ từ Viber.
Asprox (tên khác: Badsrc hay Aseljo) là mạng botnet lớn hàng đầu thế giới, với đặc điểm là tấn công theo đợt. Cứ sau mỗi đợt tấn công, tin tặc lại chủ động co hẹp quy mô mạng botnet để tránh các biện pháp đánh trả của cộng đồng an ninh mạng trong một thời gian, sau đó lại âm thầm mở rộng để tiến hành các cuộc tấn công khác.
Trong nỗ lực mở rộng lần này, tin tặc gửi đi 1 email giả mạo là thông báo cuộc gọi nhỡ từ dịch vụ gọi điện VoIP Viber. Phần nội dung mail là ngày giờ cuộc gọi nhỡ cùng một đường link lừa người dùng ấn vào để nghe thư thoại, nhưng thực chất lại trỏ đến một web server đã bị tin tặc đột nhập để cài cắm malware.
Tin tặc đứng sau Asprox có khá nhiều biện pháp để che giấu hành động của mình. Malware sẽ kiểm tra máy tính truy cập đến web server nhiễm malware có chạy Internet Explorer không, kiểm tra IP rồi mới lây nhiễm. Server cũng chặn các trường hợp truy cập nhiều lần liên tiếp để tránh nguy cơ bị các nhà phân tích malware nghiên cứu. File thực thi của malware còn sinh hàm băm mỗi 3 phút, 6 phút, vài lần một ngày, nhưng đôi lúc lại không sinh lần nào suốt cả ngày. Ngoài ra, kẻ điều hành Asprox thường sử dụng lại những web server từng đột nhập được trước đó để cài cắm malware, khiến cho việc phát hiện trở nên khó khăn hơn rất nhiều.
Nếu tất cả các điều kiện được đáp ứng, malware sẽ tải về một Trojan mà khi khởi chạy sẽ tự động biến người dùng thành một máy tính ma trong mạng botnet. Phân tích cho thấy malware có từ 5 đến 10 địa chỉ IP để liên lạc và nhận lệnh từ kẻ điều hành.
Asprox ban đầu được sử dụng với mục đích phát tán spam số lượng lớn, tuy nhiên cũng có thể được lợi dụng để quét website có lỗ hổng, ăn cắp thông tin đăng nhập, gian lận lượt click quảng cáo.
Theo một nghiên cứu của hãng bảo mật FireEye, Asprox có thể phát tán 10.000 email spam mỗi ngày và lên tới 500.000 vào cao điểm của một đợt tấn công.
Trong nỗ lực mở rộng lần này, tin tặc gửi đi 1 email giả mạo là thông báo cuộc gọi nhỡ từ dịch vụ gọi điện VoIP Viber. Phần nội dung mail là ngày giờ cuộc gọi nhỡ cùng một đường link lừa người dùng ấn vào để nghe thư thoại, nhưng thực chất lại trỏ đến một web server đã bị tin tặc đột nhập để cài cắm malware.
Tin tặc đứng sau Asprox có khá nhiều biện pháp để che giấu hành động của mình. Malware sẽ kiểm tra máy tính truy cập đến web server nhiễm malware có chạy Internet Explorer không, kiểm tra IP rồi mới lây nhiễm. Server cũng chặn các trường hợp truy cập nhiều lần liên tiếp để tránh nguy cơ bị các nhà phân tích malware nghiên cứu. File thực thi của malware còn sinh hàm băm mỗi 3 phút, 6 phút, vài lần một ngày, nhưng đôi lúc lại không sinh lần nào suốt cả ngày. Ngoài ra, kẻ điều hành Asprox thường sử dụng lại những web server từng đột nhập được trước đó để cài cắm malware, khiến cho việc phát hiện trở nên khó khăn hơn rất nhiều.
Nếu tất cả các điều kiện được đáp ứng, malware sẽ tải về một Trojan mà khi khởi chạy sẽ tự động biến người dùng thành một máy tính ma trong mạng botnet. Phân tích cho thấy malware có từ 5 đến 10 địa chỉ IP để liên lạc và nhận lệnh từ kẻ điều hành.
Asprox ban đầu được sử dụng với mục đích phát tán spam số lượng lớn, tuy nhiên cũng có thể được lợi dụng để quét website có lỗ hổng, ăn cắp thông tin đăng nhập, gian lận lượt click quảng cáo.
Theo một nghiên cứu của hãng bảo mật FireEye, Asprox có thể phát tán 10.000 email spam mỗi ngày và lên tới 500.000 vào cao điểm của một đợt tấn công.
Nguồn: Softpedia