Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trojan Gootkit sử dụng SEO để phát tán mã độc qua các trang web bị xâm nhập
Một framework chuyên phát tán trojan ngân hàng đã được nâng cấp để phân phối nhiều loại mã độc hơn, bao gồm cả ransomware.
Các nhà nghiên cứu Gabor Szappanos và Andrew Brandt của Sophos cho biết: “Dòng phần mềm độc hại Gootkit đã tồn tại hơn nửa thập kỷ. Trojan “quen mặt” này xoay quanh hành vi trộm cắp thông tin xác thực ngân hàng”.
“Trong những năm gần đây, hacker đã dành rất nhiều nỗ lực để cải tiến phương thức phát tán cũng như việc mã độc dựa trên NodeJS”.
Được gọi là Gootlader, hệ thống phát tán mã độc mở rộng từng nhắm hàng loạt mục tiêu tại Pháp, Đức, Hàn Quốc và Mỹ.
Ghi nhận lần đầu vào năm 2014, Gootkit là một nền tảng mã độc dựa trên Javascript có khả năng thực hiện một loạt các hoạt động bí mật như chèn vào web, ghi lại thao tác phím, chụp ảnh màn hình, quay video cũng như đánh cắp email và mật khẩu.
Trong những năm qua, hacker đã phát triển các công cụ để đạt được các tính năng đánh cắp thông tin mới. Các trường hợp bộ tải Gootkit được sử dụng kết hợp với ransomware REvil/Sodinokibi đã được ghi nhận vào năm ngoái.
Mặc dù các chiến dịch sử dụng kỹ thuật xã hội (social engineering) để phát tán các payload không còn mới mẻ, nhưng đã được nâng lên cấp độ cao hơn.
Chuỗi lây nhiễm sử dụng các kỹ thuật phức tạp liên quan đến việc lưu trữ các tệp ZIP độc hại trên các trang web thuộc các doanh nghiệp sử dụng SEO (tối ưu hóa công cụ tìm kiếm) để xuất hiện trong số các kết quả hàng đầu.
Kết quả của công cụ tìm kiếm chỉ ra các trang web không có kết nối "logic" với truy vấn tìm kiếm, cho thấy những kẻ tấn công phải sở hữu một mạng lưới rộng lớn các trang web bị tấn công.
Khi nhấp vào kết quả tìm kiếm người dùng được dẫn đến một trang giống như bảng thông báo giả mạo, không chỉ khớp với các cụm từ tìm kiếm trong truy vấn ban đầu mà còn bao gồm một liên kết đến tệp ZIP, chứa tệp Javascript để khởi chạy giai đoạn tiếp theo, chèn mã độc từ máy chủ từ xa vào bộ nhớ.
Ngoài phát tán ransomware REvil và trojan Gootkit, nhiều chiến dịch tấn công sử dụng Gootloader để phát tán mã độc tài chính Kronos ở Đức và công cụ khai thác Cobalt Strike ở Mỹ.
Vẫn chưa rõ bằng cách nào mà kẻ tấn công có thể truy cập vào các trang web để chèn mã độc. Tuy nhiên, các nhà nghiên cứu nghi ngờ rằng, hacker có thể đã lấy được mật khẩu bằng cách cài đặt phần mềm độc hại Gootkit, mua thông tin đăng nhập bị đánh cắp từ các chợ đen hoặc tận dụng các lỗ hổng tồn tại trong các plugin trên CMS.
"Điều này cho thấy hacker có xu hướng sử dụng lại các giải pháp có hiệu quả thay vì phát triển các cơ chế phân phối mới. Hơn nữa, thay vì chủ động tấn công các công cụ điểm cuối như một số hacker phát tán mã độc hay làm, những kẻ tạo ra Gootloader đã chọn các kỹ thuật lẩn tránh phức tạp để che giấu kết quả cuối cùng”, một nhà nghiên cứu cho biết.
Các nhà nghiên cứu Gabor Szappanos và Andrew Brandt của Sophos cho biết: “Dòng phần mềm độc hại Gootkit đã tồn tại hơn nửa thập kỷ. Trojan “quen mặt” này xoay quanh hành vi trộm cắp thông tin xác thực ngân hàng”.
“Trong những năm gần đây, hacker đã dành rất nhiều nỗ lực để cải tiến phương thức phát tán cũng như việc mã độc dựa trên NodeJS”.
Được gọi là Gootlader, hệ thống phát tán mã độc mở rộng từng nhắm hàng loạt mục tiêu tại Pháp, Đức, Hàn Quốc và Mỹ.
Ghi nhận lần đầu vào năm 2014, Gootkit là một nền tảng mã độc dựa trên Javascript có khả năng thực hiện một loạt các hoạt động bí mật như chèn vào web, ghi lại thao tác phím, chụp ảnh màn hình, quay video cũng như đánh cắp email và mật khẩu.
Trong những năm qua, hacker đã phát triển các công cụ để đạt được các tính năng đánh cắp thông tin mới. Các trường hợp bộ tải Gootkit được sử dụng kết hợp với ransomware REvil/Sodinokibi đã được ghi nhận vào năm ngoái.
Mặc dù các chiến dịch sử dụng kỹ thuật xã hội (social engineering) để phát tán các payload không còn mới mẻ, nhưng đã được nâng lên cấp độ cao hơn.
Chuỗi lây nhiễm sử dụng các kỹ thuật phức tạp liên quan đến việc lưu trữ các tệp ZIP độc hại trên các trang web thuộc các doanh nghiệp sử dụng SEO (tối ưu hóa công cụ tìm kiếm) để xuất hiện trong số các kết quả hàng đầu.
Kết quả của công cụ tìm kiếm chỉ ra các trang web không có kết nối "logic" với truy vấn tìm kiếm, cho thấy những kẻ tấn công phải sở hữu một mạng lưới rộng lớn các trang web bị tấn công.
Khi nhấp vào kết quả tìm kiếm người dùng được dẫn đến một trang giống như bảng thông báo giả mạo, không chỉ khớp với các cụm từ tìm kiếm trong truy vấn ban đầu mà còn bao gồm một liên kết đến tệp ZIP, chứa tệp Javascript để khởi chạy giai đoạn tiếp theo, chèn mã độc từ máy chủ từ xa vào bộ nhớ.
Ngoài phát tán ransomware REvil và trojan Gootkit, nhiều chiến dịch tấn công sử dụng Gootloader để phát tán mã độc tài chính Kronos ở Đức và công cụ khai thác Cobalt Strike ở Mỹ.
Vẫn chưa rõ bằng cách nào mà kẻ tấn công có thể truy cập vào các trang web để chèn mã độc. Tuy nhiên, các nhà nghiên cứu nghi ngờ rằng, hacker có thể đã lấy được mật khẩu bằng cách cài đặt phần mềm độc hại Gootkit, mua thông tin đăng nhập bị đánh cắp từ các chợ đen hoặc tận dụng các lỗ hổng tồn tại trong các plugin trên CMS.
"Điều này cho thấy hacker có xu hướng sử dụng lại các giải pháp có hiệu quả thay vì phát triển các cơ chế phân phối mới. Hơn nữa, thay vì chủ động tấn công các công cụ điểm cuối như một số hacker phát tán mã độc hay làm, những kẻ tạo ra Gootloader đã chọn các kỹ thuật lẩn tránh phức tạp để che giấu kết quả cuối cùng”, một nhà nghiên cứu cho biết.
Nguồn: The Hacker News