Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Mã độc Ammyy qua file Pub nhắm vào 2.700 ngân hàng

(Không gian mạng) - Ngày 15/08, hãng bảo mật Cofense (Mỹ) báo cáo phát hiện chiến dịch phát của botnet Nercus bắt đầu vài tuần trước, nhắm mục tiêu khoảng 2.700 tổ chức ngân hàng thuộc danh sách Fortune 100 ở Mỹ và trên toàn thế giới.

Các nhà nghiên cứu tại Cofense cho biết, chiến dịch đột ngột dừng vào lúc 15h37 ngày 15/08. Các email lừa đảo đến từ Ấn Độ và mang các tiêu đề “Yêu cầu BOI” hoặc “Tư vấn thanh toán”.

1_50289

Botnet Necurs được các nhà phân tích mã độc theo dõi từ vài tháng qua và phát hiện chiến dịch lừa đảo này là một nỗ lực đầu tiên của Nercus nhắm mục tiêu vào lĩnh vực tài chính. Các tin tặc được xác định là đang tìm cách có được chỗ đứng trên cơ sở hạ tầng của các ngân hàng và lập bước này cho các cuộc tấn công tiềm năng về sau.

Nercus lần đầu bị phát hiện vào năm 2012 và khét tiếng qua chiến dịch phát tán mã độc Locky vài năm trước, bộ công cụ Necurs thường kết hợp với nhiều thuật toán thế hệ tên miền (DGA) tên miền .bit và mạng truyền thông ngang hàng (P2P).

Sau khi nghiên cứu các chiến dịch botnet trong vài tuần qua, các nhà bảo mật nhận thấy tất cả người nhận email làm việc tại ngân hàng. Ngoài ra, các nhà nghiên cứu cũng chú ý đến một tập tin định dạng .pub của Microsoft Publisher, được đính kèm trong các chiến dịch email lừa đảo trên.

Vào lúc 7h30 sáng ngày 15/08, có một sự đổi bất ngờ trong phần mở rộng tập tin. “Giống như Word và Excel, Microsoft Publisher có khả năng nhúng macro. Vì vậy, ngay khi bạn cảm thấy tự tin hệ thống bảo mật của bạn có thể phòng chống các tài liệu Word độc hại, thì Necurs đã thích nghi và đặt bạn vào thế bất ngờ khác”, các nhà nghiên cứu viết.

“Các ngân hàng từ các ngân hàng khu vực nhỏ đến các tổ chức tài chính lớn nhất trên thế giới. Chúng tôi hiện chưa xác định được tin tặc đằng sau chiến dịch là ai này hoặc mục tiêu cuối cùng của chúng là gì”.

Tập tin định dạng .pub có chứa macro, một khi được thực thi macro sẽ được tải xuống từ một máy chủ từ xa, kéo theo mã độc truy cập từ xa FlawedAmmyy (RAT). Với payload chính này, những kẻ tấn công đã nắm được sự kiểm soát hoàn toàn từ xa đối với máy chủ bị xâm nhập, cho phép đánh cắp thông tin và di chuyển hàng ngang trong tổ chức ngân hàng trong tương lai.

Lâm Quang Dũng (Lược dịch từ: Infosecurity)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: