Xuất hiện Banking Trojan mới đóng giả như một module bảo mật của ngân hàng.

GD&TĐ -Một Trojan ngân hàng mới được phát hiện tách biệt hoàn toàn so với các chiến thuật thông thường, được quan sát bởi các nhà nghiên cứu mã độc bằng cách chọn cài đặt có thể nhìn thấy và bằng cách sử dụng thêm các thành phần tấn công phi kỹ thuật hay còn gọi là social engineering.

Giao dịch gian lận chạy qua hệ thống của nạn nhân
Giao dịch gian lận chạy qua hệ thống của nạn nhân

CamuBot xuất hiện vào tháng trước tại Brazil nhắm mục tiêu vào các công ty và tổ chức từ khu vực công. Nạn nhân là người cài đặt phần mềm độc hại đó theo hướng dẫn từ một kẻ điều hành đóng giả là nhân viên ngân hàng.

Tấn công social engineering bằng sách

Phần mềm độc hại được ngụy trang dưới dạng một ứng dụng bảo mật, được đánh dấu bằng logohình ảnh thương hiệu của ngân hàng.

"Để thực hiện các cuộc tấn công của họ, các nhà khai thác CamuBot bắt đầu bằng một số hoạt động trinh sát cơ bản để tìm ra các doanh nghiệp có ngân hàng với một tổ chức tài chính nhất định. Sau đó, họ bắt đầu một cuộc gọi điện thoại cho người có khả năng có thông tin tài khoản ngân hàng của doanh nghiệp", theo các chuyên gia nghiên cứu đến từ IBM X-Force trong một bài blog hôm nay.

Theo Vcyber, nguyên cớ của tấn công phi kỹ thuật dẫn đến việc cài đặt công cụ bảo mật giả là việc kiểm tra tính hợp lệ của mô-đun bảo mật hiện tại từ ngân hàng.

Giả vờ là một nhân viên của tổ chức tài chính làm việc với mục tiêu, kẻ điều hành yêu cầu nạn nhân tải một trang web hiển thị rằng phần mềm của nạn nhân đang bị lỗi thời và cần nâng cấp phiên bản.

Thói quen của CamuBot bao gồm thiết lập proxy SOCKS dựa trên SSH trên thiết bị và cho phép chuyển tiếp cổng. Mục đích của việc này là thiết lập một đường hầm liên lạc hai chiều với thiết bị, cho phép kẻ tấn công sử dụng IP của nạn nhân khi truy cập vào tài khoản ngân hàng bị xâm nhập.

Lấy thông tin đăng nhập cho tài khoản ngân hàng trực tuyến được giải quyết thông qua phishing. Sau khi cài đặt, CamuBot ra mắt một trang web giả mạo cho ngân hàng được nhắm mục tiêu, khiến nạn nhân đăng nhập, do đó gửi thông tin cho kẻ tấn công.

Để vượt qua phát hiện chống vi-rút và tường lửa, phần mềm độc hại tự thêm mình vào danh sách các chương trình được phê duyệt trong cả hai công cụ bảo mật.

CamuBot được chuẩn bị phòng thủ mạnh mẽ hơn

Các tác giả của loại mã độc này đã đảm bảo rằng sáng tạo của họ thành công trong kể cả các tình huống yêu cầu xác thực hai yếu tố.

Nếu lần thử thách xác thực thứ hai yêu cầu một thiết bị kết nối với máy tính bị nhiễm, CamuBot có thể nhận ra nó và cài đặt trình điều khiển chính xác. Nạn nhân sau đó được yêu cầu chia sẻ mã tạm thời với nhà điều hành qua điện thoại.

Các nhà nghiên cứu giải thích: "Với mã độc sử dụng một lần trong tay, bọn tội phạm có thể thực hiện một giao dịch gian lận, đào hầm thông qua địa chỉ IP của chúng để làm cho phiên có vẻ hợp pháp về phía ngân hàng," các nhà nghiên cứu giải thích.

Các cuộc tấn công với CamuBot được cá nhân hóa, nhóm IBM X-Force nói, và nó nhắm vào các doanh nghiệp ở Brazil, không có tầm nhìn trong các khu vực địa lý khác.

Những cuộc tấn công này phụ thuộc rất nhiều vào kỹ thuật social engineering, nhưng kẻ tấn công có rất nhiều mánh khóe mà mỗi người trong số nạn nhân đều có khả năng rơi vào.

Từ trình cài đặt được bao bọc trong hình ảnh thương hiệu của ngân hàng đến cài đặt trình điều khiển, có một vài điểm trong cuộc trò chuyện nơi vỏ bọc của kẻ tấn công có thể bị thổi bay.

Theo Vcyber.io và Anomali.com

Tin tiêu điểm

Đừng bỏ lỡ