WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Thư nháp trong Gmail bị lợi dụng để đánh cắp dữ liệu
Một biến thể mới của IcoScript RAT (Remote Access Trojan) được phát hiện tận dụng các thư nháp của Gmail để gửi thông tin ăn cắp đến hacker và nhận chỉ thị cho các hoạt động tiếp theo.
IcoScript được phát hiện lần đầu tiên vào tháng 8 năm nay bởi G Data. Hãng cho biết mã độc này sử dụng một phiên làm việc ẩn trên IE để truy cập các dịch vụ dựa trên nền tảng web từ Yahoo để trao đổi thông tin với kẻ tấn công.
Mới đây, hãng an ninh Shape Security tìm thấy một biến thể mới của mã độc này trên hệ thống website của một trong các khách hàng của họ.
Để tiếp cận và lấy cắp thông tin, tin tặc cần tiến hành nhiều bước. Theo ví dụ mà Shape Security đưa ra, hacker sẽ bắt đầu bằng việc tạo ra một tài khoản Gmail giả mạo và cài mã độc IcoScript lên hệ thống mục tiêu.
Sau đó, một loại ngôn ngữ được sử dụng làm trung gian trao đổi dữ liệu giữa dịch vụ Gmail và mã độc. Kết nối với dịch vụ email được thực hiện thông qua công nghệ COM (Component Object Model – Mô hình đối tượng thành phần), cho phép các chương trình tiếp cận thông tin từ trang web qua IE mà không cần phải mở trình duyệt.
Tất cả những gì các phần mềm an ninh nhìn thấy trên máy tính nạn nhân là lưu lượng truy cập mail hợp pháp, vì vậy rất khó để phát hiện cuộc tấn công.
Theo quan sát của Shape Security, mã độc khởi chạy phiên bản làm việc Gmail ẩn trên IE sau khi đã kiểm soát được máy tính. Đăng nhập dịch vụ được thực hiện tự động thông qua ngôn ngữ Python, ngôn ngữ này cũng được sử dụng làm trung gian giao tiếp với kẻ tấn công bằng thư nháp.
Bằng cách thức này, các chỉ dẫn như yêu cầu thực thi hoặc loại thông tin cần lấy cắp được gửi tới mã độc; dữ liệu cũng được thu thập từ nạn nhân với cách thức tương tự.
Bằng việc không dùng các giao thức trao đổi phổ biến (IRC hoặc HTTP), IcoScript đảm bảo yếu tố lén lút ở mức cao, gây khó khăn cho việc xác định số lượng hệ thống bị tấn công.
Các chuyên gia an ninh mạng của cả G Data và Shape Security đều đồng ý rằng việc ngăn chặn một cuộc tấn công thuộc hình thức này khá khó và việc xử lý nằm ở dịch vụ email.
Các nhóm phản ứng sự cố thường xử lý bằng cách ngăn cản lưu lượng truyền mã độc; tuy nhiên, trong trường hợp này, kết nối hoàn toàn hợp lệ và việc tắt chế độ trao đổi email không phải là một việc làm khả dĩ.
Google đã được thông báo về vấn đề này và cho biết việc sử dụng Gmail cho mục đích độc hại và có hệ thống này đang được kiểm soát; các tài khoản giả được nhận diện đã ngay lập tức bị loại bỏ.
IcoScript được phát hiện lần đầu tiên vào tháng 8 năm nay bởi G Data. Hãng cho biết mã độc này sử dụng một phiên làm việc ẩn trên IE để truy cập các dịch vụ dựa trên nền tảng web từ Yahoo để trao đổi thông tin với kẻ tấn công.
Mới đây, hãng an ninh Shape Security tìm thấy một biến thể mới của mã độc này trên hệ thống website của một trong các khách hàng của họ.
Để tiếp cận và lấy cắp thông tin, tin tặc cần tiến hành nhiều bước. Theo ví dụ mà Shape Security đưa ra, hacker sẽ bắt đầu bằng việc tạo ra một tài khoản Gmail giả mạo và cài mã độc IcoScript lên hệ thống mục tiêu.
Sau đó, một loại ngôn ngữ được sử dụng làm trung gian trao đổi dữ liệu giữa dịch vụ Gmail và mã độc. Kết nối với dịch vụ email được thực hiện thông qua công nghệ COM (Component Object Model – Mô hình đối tượng thành phần), cho phép các chương trình tiếp cận thông tin từ trang web qua IE mà không cần phải mở trình duyệt.
Tất cả những gì các phần mềm an ninh nhìn thấy trên máy tính nạn nhân là lưu lượng truy cập mail hợp pháp, vì vậy rất khó để phát hiện cuộc tấn công.
Theo quan sát của Shape Security, mã độc khởi chạy phiên bản làm việc Gmail ẩn trên IE sau khi đã kiểm soát được máy tính. Đăng nhập dịch vụ được thực hiện tự động thông qua ngôn ngữ Python, ngôn ngữ này cũng được sử dụng làm trung gian giao tiếp với kẻ tấn công bằng thư nháp.
Bằng cách thức này, các chỉ dẫn như yêu cầu thực thi hoặc loại thông tin cần lấy cắp được gửi tới mã độc; dữ liệu cũng được thu thập từ nạn nhân với cách thức tương tự.
Bằng việc không dùng các giao thức trao đổi phổ biến (IRC hoặc HTTP), IcoScript đảm bảo yếu tố lén lút ở mức cao, gây khó khăn cho việc xác định số lượng hệ thống bị tấn công.
Các chuyên gia an ninh mạng của cả G Data và Shape Security đều đồng ý rằng việc ngăn chặn một cuộc tấn công thuộc hình thức này khá khó và việc xử lý nằm ở dịch vụ email.
Các nhóm phản ứng sự cố thường xử lý bằng cách ngăn cản lưu lượng truyền mã độc; tuy nhiên, trong trường hợp này, kết nối hoàn toàn hợp lệ và việc tắt chế độ trao đổi email không phải là một việc làm khả dĩ.
Google đã được thông báo về vấn đề này và cho biết việc sử dụng Gmail cho mục đích độc hại và có hệ thống này đang được kiểm soát; các tài khoản giả được nhận diện đã ngay lập tức bị loại bỏ.
Nguồn: Softpedia