CamuBot xuất hiện vào tháng trước tại Brazil nhắm mục tiêu vào các công ty và tổ chức từ khu vực công. Nạn nhân là người cài đặt phần mềm độc hại đó theo hướng dẫn từ một kẻ điều hành đóng giả là nhân viên ngân hàng.
Tấn công social engineering bằng sách
Phần mềm độc hại được ngụy trang dưới dạng một ứng dụng bảo mật, được đánh dấu bằng logo và hình ảnh thương hiệu của ngân hàng.
"Để thực hiện các cuộc tấn công của họ, các nhà khai thác CamuBot bắt đầu bằng một số hoạt động trinh sát cơ bản để tìm ra các doanh nghiệp có ngân hàng với một tổ chức tài chính nhất định. Sau đó, họ bắt đầu một cuộc gọi điện thoại cho người có khả năng có thông tin tài khoản ngân hàng của doanh nghiệp", theo các chuyên gia nghiên cứu đến từ IBM X-Force trong một bài blog hôm nay.
Theo Vcyber, nguyên cớ của tấn công phi kỹ thuật dẫn đến việc cài đặt công cụ bảo mật giả là việc kiểm tra tính hợp lệ của mô-đun bảo mật hiện tại từ ngân hàng.
Giả vờ là một nhân viên của tổ chức tài chính làm việc với mục tiêu, kẻ điều hành yêu cầu nạn nhân tải một trang web hiển thị rằng phần mềm của nạn nhân đang bị lỗi thời và cần nâng cấp phiên bản.
Thói quen của CamuBot bao gồm thiết lập proxy SOCKS dựa trên SSH trên thiết bị và cho phép chuyển tiếp cổng. Mục đích của việc này là thiết lập một đường hầm liên lạc hai chiều với thiết bị, cho phép kẻ tấn công sử dụng IP của nạn nhân khi truy cập vào tài khoản ngân hàng bị xâm nhập.
Lấy thông tin đăng nhập cho tài khoản ngân hàng trực tuyến được giải quyết thông qua phishing. Sau khi cài đặt, CamuBot ra mắt một trang web giả mạo cho ngân hàng được nhắm mục tiêu, khiến nạn nhân đăng nhập, do đó gửi thông tin cho kẻ tấn công.
Để vượt qua phát hiện chống vi-rút và tường lửa, phần mềm độc hại tự thêm mình vào danh sách các chương trình được phê duyệt trong cả hai công cụ bảo mật.
CamuBot được chuẩn bị phòng thủ mạnh mẽ hơn
Các tác giả của loại mã độc này đã đảm bảo rằng sáng tạo của họ thành công trong kể cả các tình huống yêu cầu xác thực hai yếu tố.
Nếu lần thử thách xác thực thứ hai yêu cầu một thiết bị kết nối với máy tính bị nhiễm, CamuBot có thể nhận ra nó và cài đặt trình điều khiển chính xác. Nạn nhân sau đó được yêu cầu chia sẻ mã tạm thời với nhà điều hành qua điện thoại.
Các nhà nghiên cứu giải thích: "Với mã độc sử dụng một lần trong tay, bọn tội phạm có thể thực hiện một giao dịch gian lận, đào hầm thông qua địa chỉ IP của chúng để làm cho phiên có vẻ hợp pháp về phía ngân hàng," các nhà nghiên cứu giải thích.
Các cuộc tấn công với CamuBot được cá nhân hóa, nhóm IBM X-Force nói, và nó nhắm vào các doanh nghiệp ở Brazil, không có tầm nhìn trong các khu vực địa lý khác.
Những cuộc tấn công này phụ thuộc rất nhiều vào kỹ thuật social engineering, nhưng kẻ tấn công có rất nhiều mánh khóe mà mỗi người trong số nạn nhân đều có khả năng rơi vào.
Từ trình cài đặt được bao bọc trong hình ảnh thương hiệu của ngân hàng đến cài đặt trình điều khiển, có một vài điểm trong cuộc trò chuyện nơi vỏ bọc của kẻ tấn công có thể bị thổi bay.