Phát hiện mã độc ngân hàng nhắm vào người dùng di động
Các chuyên gia bảo mật của Kaspersky vừa phát hiện một loại mã độc nhắm vào ngành ngân hàng, nhưng có thể tấn công được cả vào các mẫu smartphone của người dùng trên toàn thế giới.
Tin tặc đang mở rộng các chiến dịch tấn công người dùng
Theo đó, trong quá trình theo dõi một chiến dịch nhắm vào ngành ngân hàng và tấn công vào các thiết bị chạy hệ điều hành Windows của mã độc Guildma, các nhà nghiên cứu của Kaspersky đã phát hiện những URL này không chỉ phát tán các file mã độc .ZIP đến các thiết bị Windows, mà còn phát tán cả một file mã độc dưới dạng một trình tải file (downloader) để cài đặt Ghimob, một Trojan mới nhắm vào ngành ngân hàng.
Khi chuyển sang Chế độ Truy cập (Accessibility Mode), Ghimob có thể ẩn nấp và vô hiệu hóa chế độ gỡ cài đặt thủ công, thu thập dữ liệu, kiểm soát nội dung màn hình và cung cấp toàn quyền điều khiển từ xa cho tin tặc. Theo các chuyên gia, những tin tặc phát triển RAT (Remote Access Trojan – Trojan Truy cập Từ xa) di động đặc thù này tập trung cao độ vào người dùng tại Brazil nhưng hiện tại chiến dịch này vẫn đang hoạt động với kế hoạch đầy tham vọng là mở rộng phạm vi tấn công ra toàn cầu.
Guildma là một mối đe dọa bảo mật và cũng là một phần của dòng mã độc Tétrade khét tiếng, được biết đến với các hoạt động phá hoại có khả năng mở rộng ra ở cả khu vực Mỹ La Tinh và nhiều quốc gia trên thế giới.
Video đang HOT
Là một mã độc mới – Trojan Ghimob tấn công ngành ngân hàng và thực hiện việc đánh lừa nạn nhân cài đặt file mã độc thông qua một nội dung email thông báo người nhận đang mắc một khoản nợ nào đó. Email còn chứa một liên kết để lừa nạn nhân click vào tìm hiểu thêm thông tin. Sau khi RAT được cài đặt, mã độc sẽ gửi thông điệp lây nhiễm thành công về máy chủ. Thông điệp bao gồm số điện thoại, thông tin khóa chế độ bảo mật màn hình và danh sách các ứng dụng đã được cài đặt có thể bị tấn công. Nhìn chung, Ghimob có thể do thám 153 ứng dụng di động, chủ yếu là những ứng dụng di động từ các ngân hàng, tiền mã hóa, và thị trường chứng khoán.
Để được an toàn trước RAT và các mối đe dọa bảo mật tấn công ngành ngân hàng, Kaspersky khuyến nghị thực hiện các biện pháp bảo mật dưới đây:
- Cung cấp cho bộ phận SOC của doanh nghiệp khả năng truy cập vào những thông tin cập nhật nhất về mối đe dọa bảo mật (threat intelligence – TI).
- Nâng cao nhận thức của khách hàng về những cách thức mà tin tặc có thể sử dụng. Thường xuyên cập nhật thông tin cho khách hàng về cách phát hiện gian lận và biện pháp xử lý trong tình huống đó.
- Triển khai giải pháp phòng chống gian lận, như Kaspersky Fraud Prevention. Giải pháp có thể bảo vệ kênh di động trong các trường hợp tin tặc sử dụng cơ chế điều khiển từ xa để thực hiện giao dịch gian lận. Giải pháp có thể phát hiện cả mã độc RAT trên thiết bị và nhận biết các dấu hiệu điều khiển từ xa thông qua phần mềm hợp pháp.
Kaspersky phát hiện một bộ công cụ mã độc mới nhằm vào các tập đoàn công nghiệp
Các nhà nghiên cứu của Kaspersky đã phát hiện các vụ tấn công có chủ đích nhằm vào các tập đoàn công nghiệp bắt đầu từ năm 2018 - hiếm thấy hơn rất nhiều so với các tin tặc phát tán các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao và các nhà chính trị cấp cao khác.
Bộ công cụ được sử dụng (ban đầu được tác giả của mã độc đặt tên là MT3) đã được Kaspersky đặt tên mới là "MontysThree". Bộ công cụ này sử dụng nhiều kỹ thuật để tránh bị phát hiện, bao gồm cả việc ẩn lưu lượng truyền thông trong máy chủ điều khiển và các dịch vụ điện toán đám mây công cộng, đồng thời che giấu mô-đun mã độc chính bằng kỹ thuật giấu tin (steganography).
Các cơ quan chính phủ, nhà ngoại giao và nhà mạng viễn thông dường như là những đích tấn công ưa thích của các vụ tấn công có chủ đích (APT), bởi vì các cá nhân và tổ chức này thường quản lý và xử lý nhiều thông tin mật, nhạy cảm về chính trị. Các chiến lược tấn công do thám có chủ đích sẽ ít nhằm vào các cơ sở công nghiệp hơn, nhưng cũng giống như bất kỳ vụ tấn công nào khác, chúng vẫn có thể gây ra những hậu quả nghiêm trọng đối với doanh nghiệp. Đó chính là lý do tại sao, khi phát hiện hoạt động của MontysThree, các nhà nghiên cứu của Kaspersky đã rất quan tâm.
Để thực hiện hoạt động do thám, MontysThree triển khai một chương trình mã độc bao gồm bốn mô-đun. Mô-đun thứ nhất - Trình tải (loader) - là bước lây lan ban đầu thông qua sử dụng các file RAR SFX (self-extracted archives - file lưu trữ tự giải nén) có chứa các tên gọi (names) trong danh sách nhân viên, tài liệu kỹ thuật và kết quả chẩn đoán y tế để đánh lừa nhân viên tải file về - một kỹ thuật lừa đảo (spearphishing) rất phổ biến. Trình Loader chủ yếu chịu trách nhiệm đảm bảo rằng mã độc không bị phát hiện trên hệ thống; để thực hiện điều đó, nó triển khai một kỹ thuật được gọi là steganography (kỹ thuật giấu tin).
Steganography được sử dụng để giấu đi thực tế rằng dữ liệu đang bị khai thác. Với trường hợp của MontysThree, payload (phần dữ liệu được truyền đi) của mã độc chính được ngụy trang bằng một file hình ảnh theo định dạng bitmap (một định dạng để lưu trữ hình ảnh số). Nếu nhập vào đúng câu lệnh, trình Loader sẽ sử dụng một thuật toán đặc biệt để giải mã nội dung ma trận điểm ảnh và chạy payload mã độc.
Payload mã độc chính là sử dụng một số kỹ thuật mã hóa để tránh bị phát hiện, cụ thể là sử dụng một thuật toán RSA để mã hóa lưu lượng truyền thông với máy chủ chỉ huy điều khiển và giải mã các "tác vụ" chính mà mã độc ấn định cho nó. Điều đó bao gồm việc tìm kiếm các tài liệu có phần mở rộng nhất định nằm trong các thư mục cụ thể của công ty. MontysThree được thiết kế để tấn công các tài liệu Microsoft và Adobe Acrobat; nó còn có thể chụp ảnh màn hình và "lấy dấu vây tay - fingerprint" của đích tấn công (nghĩa là thu thập thông tin về tham số cài đặt mạng, tên máy chủ, v.v...) để đánh giá xem đích đó có hấp dẫn với tin tặc hay không.
Sau đó, thông tin thu thập được và các nội dung truyền thông khác với máy chủ chỉ huy điều khiển được đặt trên các dịch vụ điện toán đám mây công cộng như là Google, Microsoft và Dropbox. Điều đó làm cho lưu lượng truyền thông trở nên khó bị phát hiện dưới dạng mã độc và bởi vì không có phần mềm diệt vi-rút nào chặn các dịch vụ này, nó đảm bảo rằng máy chủ chỉ huy điều khiển có thể thực hiện các câu lệnh một cách liên tục.
MontysThree còn sử dụng một phương pháp đơn giản để duy trì sự ẩn nấp dai dẳng trên hệ thống bị lây nhiễm - một công cụ chỉnh sửa (modifier) phần thanh công cụ chạy ứng dụng nhanh Windows Quick Launch. Người dùng vô tình chạy mô-đun ban đầu của mã độc mỗi khi chạy các ứng dụng chính thống, khi sử dụng thanh công cụ Quick Launch.
Kaspersky chưa phát hiện ra bất kỳ điểm tương đồng nào trong mã độc hay trong cơ sở hạ tầng với bất kỳ APT đã biết nào.
"MontysThree là mã độc thú vị vì thực tế là nó không chỉ nhằm vào các tập đoàn công nghiệp, mà còn vì đó là một tổ hợp của các TTP tinh vi và hơi "a-ma-tơ" một chút. Nói chung, mức độ tinh vi là khác nhau giữa các mô-đun, nhưng vẫn không thể so sánh được với mức độ mà các APT tinh vi sử dụng. Tuy nhiên, chúng sử dụng các tiêu chuẩn mã hóa mạnh và trên thực tế có đưa ra một số quyết định chi tiết về công nghệ, bao gồm cả kỹ thuật giấu tin tùy biến. Có thể điều quan trọng nhất là ở chỗ, rõ ràng là tin tặc đã đầu tư nhiều công sức vào việc phát triển bộ công cụ MontysThree, và điều đó cho thấy rằng, chúng quyết tâm đạt được mục tiêu - và điều đó không có nghĩa rằng đó là một chiến dịch chỉ diễn ra trong thời gian ngắn," ông Denis Legezo, nghiên cứu viên cao cấp thuộc Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky chia sẻ.
Phát hiện các nhóm mã độc tống tiền có chủ đích tại Đông Nam Á Những mã độc tống tiền doanh nghiệp vẫn đang phát triển mạnh mẽ, dựa trên thông tin tình báo mối đe dọa an ninh mạng mới nhất do Kaspersky vừa công bố. Mã độc tống tiền vẫn đang bùng nổ trong năm 2020 Ông Vitaly Kamluk, Giám đốc Nhóm nghiên cứu và phân tích toàn cầu (GReAT) khu vực APAC của Kaspersky cho...