Trang nhà > Công nghệ > An ninh > Mã độc mới đánh cắp thông tin người dùng ngân hàng
Mã độc mới đánh cắp thông tin người dùng ngân hàng
Thứ Tư 26, Tháng Sáu 2019, bởi
Các nhà nghiên cứu vừa phát hiện một chiến dịch lừa đảo mới. Cụ thể, chúng phát tán một biến thể của Houdini Worm (Hworm) với tên gọi là công cụ truy cập từ xa WSH (WSH RAT) nhằm tấn công các khách hàng thuộc khu vực ngân hàng thương mại.
Hình trên: File zip độc hại – giải nén ra phiên bản gốc của WSH RAT. Xin đừng tải nó về và mở ra
Được tung ra lần đầu vào ngày 2 tháng 6 năm 2019, Hworm có những điểm rất tương đồng với các malware đã tồn tại từ năm 2013 như njRAT và njWorm.
WSH RAT tấn công người dùng như thế nào?
Mở màn cho cuộc tấn công này, Windows Script Host – một ứng dụng hợp pháp được sử dụng để thực thi các script trên các máy Windows, đã đã bị lợi dụng bởi WSH RAT. Những kẻ tấn công đã phát tán phần mềm độc hại WSH RAT thông qua chiến dịch email lừa đảo với một file đính kèm độc hại. Các file đính kèm này chứa file MHT được threat operators sử dụng theo cùng một hình thức tấn công đối với các file HTML. Trong đó, các file MTH chứa thẻ <a href=”...”>
khiến người dùng tải về một file zip độc hại sẽ giải nén ra phiên bản gốc của WSH RAT.
Theo nhận định của các nhà nghiên cứu, khi được thực hiện trên một endpoint, WSH RAT hoạt động tương tự như Hworm từ việc sử dụng dữ liệu được mã hóa Base64 bị xáo trộn đến cấu trúc cấu hình mà Hworm sử dụng cho quy trình này. Ngoài ra, WSH RAT sinh ra một bản sao chính xác của cấu hình Hworm, bao gồm cả biến mặc định và cấu trúc URL của máy chủ điều khiển và lệnh WSH RAT giống hệt với Hworm.
Sau khi liên lạc ban đầu đến máy chủ C2 được thực hiện, WSH RAT truy xuất một URL mới và tải về 3 file .tar.gz, nhưng thực tế là các tệp thực thi PE32 và ba tập tin này thực hiện những việc như sau:
- Xem trộm thông tin tài khoản mail – Giải mã những dữ liệu về thông tin truy cập cá nhân hiện có trong hệ thống, đặc biệt là mật khẩu những tài khoản mail được lưu bởi Microsoft Outlook, sau đó gửi chúng về cho hacker.
- Xem trộm thông tin đăng nhập qua trình duyệt – cho phép hacker có thể xem những mật khẩu được lưu trong trình duyệt của người dùng.
- Key logger – lén lút lưu lại những phím đã gõ.
Một đặc điểm với các mô – đun trên là chúng đều bắt nguồn từ một bên thứ ba chứ không phải từ những kẻ phát tán WSH RAT. Những kẻ đằng sau hoạt động tấn công này đã rao bán WSH RAT với mức giá trung bình 50 USD mỗi tháng tại thị trường ngầm. WSH RAT tại đây được quảng cáo với rất nhiều tính năng mới kèm theo nhiều phương thức khởi động tự động và một số lượng lớn những khả năng truy cập và đánh cắp từ xa hiệu quả hơn.
Chính sự hoành hành dễ dàng của các mối đe dọa này đã kích thích các phần mềm độc hại có cơ hội phát triển, được trao đổi mua bán như một mặt hàng sử dụng để tấn công. Chỉ với một khoản đầu tư nhỏ cho C & C server và phần mềm độc hại bất kì trên thị trường ngầm, một hacker ở trình độ trung cấp có thể tấn công đến những hệ thống mạng của những công ty lớn về tài chính một cách nhanh chóng.