Phát hiện Qbot – mạng botnet tấn công 800.000 giao dịch ngân hàng

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Phát hiện Qbot – mạng botnet tấn công 800.000 giao dịch ngân hàng
Hãng an ninh Proofpoint tuyên bố phát hiện một mạng bonet lớn với trên nửa triệu máy nhiễm malware và đã ăn cắp thông tin về khoảng 800.000 giao dịch trực tuyến tại một số ngân hàng thuộc loại lớn nhất nước Mỹ.

1490893088Qbot-Botnet-Sniffs-800-000-Banking-Transactions-From-More-Than-500-000-Systems-461374-2.jpg


Giao diện trang điều hành mạng botnet Qbot

Trong nghiên cứu mới nhất của mình, Proofpoint cho biết tội phạm mạng đã sử dụng các tài khoản quản trị mua được từ thị trường chợ đen để truy cập vào các trang WordPress và tải lên đó malware cũng như phát tán các thông báo độc hại tới người dùng truy cập trang.

Các trang WordPress bị xâm nhập chứa 1 đường link dẫn tới hệ thống phân bổ luồng dữ liệu (Traffic Distribution System - TDS), có nhiệm vụ xác nhận người dùng truy cập đến là một mục tiêu phù hợp và các đường link độc hại không bị phần mềm diệt virus chặn lại. Hệ thống này sau đó khai thác lỗ hổng trên trình duyệt để chèn vào một mã độc “dropper” – trong trường hợp này là Qbot - có nhiệm vụ tải về các mã độc khác.

Qbot cũng kết nối trở lại với C&C server để cung cấp thông tin về hệ thống vừa xâm nhập thành công cho tin tặc.

Theo Proofpoint thì các hệ thống TDS không chỉ hiệu quả mà còn rất linh động. Việc sử dụng một “dropper” thay vì chỉ dùng một loại malware duy nhất khiến máy tính nạn nhân có thể bị lây nhiễm nhiều thành phần malware khác nhau, giúp malware tránh bị phát hiện theo dấu hiệu (nếu một thành phần bị phát hiện, các thành phần khác có thể qua mặt được phần mềm an ninh), cũng như để tin tặc khai thác nạn nhân theo nhiều cách.

Proofpoint khẳng định tội phạm mạng Nga đứng đằng sau chiến dịch này và đã phát tán Qbot trong hơn một năm qua với mục đích thuần túy là tiền.

Một điểm đáng chú ý khác của Qbot là việc tin tặc sử dụng module SocksFabric. Module này có nhiệm vụ xây dựng mạng lưới “đường hầm” giúp tin tặc tạo ra một “đám mây” của riêng mình để truyền dữ liệu mã hóa cũng như các thông tin ăn cắp được, hoặc “sử dụng máy tính của nạn nhân làm bàn đạp tất công vào hệ thống của tổ chức”. Tin tặc còn có thể cho thuê SocksFabric để các nhóm tội phạm khác lợi dụng.

Proofpoint xác định Qbot đang có khoảng 520.000 nạn nhân, do botnet này để lại một dấu hiệu nhận diện riêng biệt trên mỗi hệ thống xâm nhập thành công. Theo thống kê, 75% nạn nhân nằm tại Mỹ và 59% trong số 800.000 giao dịch bị can thiệp liên quan đến 5 ngân hàng lớn nhất nước này.

Nguồn: Infosecurity Magazine

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên