Chuyên Mục

BadRabbit chưa lắng xuống, Ursnif đã trở lại và lợi hại hơn

TTO - Ursnif vốn là một mã độc xuất hiện vào năm 2014, đánh cắp hàng loạt dữ liệu giáo dục, tài chính và sản xuất tại Anh, Mỹ, Canada... Nó còn hoạt động mạnh mẽ trong năm 2016 trước khi trở lại và bùng nổ từ quý 3 năm nay với mục tiêu nhắm đến là các ngân hàng Nhật Bản.

BadRabbit chưa lắng xuống, Ursnif đã trở lại và lợi hại hơn - Ảnh 1.

Với kỹ thuật tấn công mới, hacker đứng đằng sau Ursnif đã đẩy mạnh các chiến dịch spam để phát tán phần mềm độc hại. - Ảnh: ISTOCK.

Theo nhóm X-Force của IBM, hacker đã dùng Ursnif (hay còn gọi là Gozi) tấn công Triều Tiên, châu Âu, Úc và Nhật Bản trong nhiều năm. Bên cạnh các khu vực trên, Ursnif còn nhắm đến các ngân hàng ở Tây Ban Nha, Ba Lan, Bulgari và Cộng hòa Séc trong năm nay.

Tuy nhiên, các phân tích gần đây cho thấy hacker chủ yếu tập trung tấn công hàng loạt ngân hàng Nhật Bản và các nhà cung cấp thẻ thanh toán kể từ tháng 9-2017. Với kỹ thuật tấn công mới, hacker đứng đằng sau Ursnif đã đẩy mạnh các chiến dịch spam để phát tán phần mềm độc hại.

Limor Kessem, cố vấn bảo mật của IBM cho biết: "Ursnif hoạt động mạnh nhất trong lĩnh vực tài chính vào năm 2016 và vẫn duy trì sự thống trị của nó trong năm 2017 khi trở lại. Dù cách thức tấn công của mỗi chiến dịch là khác nhau nhưng hầu như mục tiêu tấn công không hề thay đổi, cho thấy khả năng chỉ có cùng một nhóm hacker đứng đằng sau."

Tuy nhiên, nếu như trước đây Ursnif chỉ lây nhiễm thông qua việc phát tán thư rác và phần mềm chứa trojan thì giờ đây, nó còn nhắm mục tiêu người dùng webmail, lưu trữ đám mây, các nền tảng giao dịch tiền điện tử và các trang web thương mại điện tử.

Các tác nhân đe dọa đã mở rộng và hacker đã sử dụng nhiều kỹ thuật khác nhau bao gồm lấy dữ liệu từ các phiên bảo mật, lợi dụng lỗ hổng web để tấn công vào câu lệnh cơ sở dữ liệu thông qua chèn các đoạn mã độc vào SQL và chuyển hướng trang. Chúng còn sử dụng các tệp đính kèm giả mạo như được gửi từ các nhà cung cấp dịch vụ tài chính tại Nhật Bản.

Phát hiện mã độc trên nền tảng Android tấn công ứng dụng ngân hàng Phát hiện mã độc trên nền tảng Android tấn công ứng dụng ngân hàng Cảnh giác chiêu lừa lấy tài khoản ngân hàng khó nhận biết Cảnh giác chiêu lừa lấy tài khoản ngân hàng khó nhận biết ​Nguy cơ tấn công mạng vào ngân hàng ngày càng tăng ​Nguy cơ tấn công mạng vào ngân hàng ngày càng tăng

Kessem cho biết: "Trong các thư spam, người dùng sẽ nhận được một liên kết HTML dẫn đến tệp lưu trữ (.zip) chứa JavaScript, nếu bấm vào thì sẽ thực thi lệnh PowerShell kết nối máy chủ từ xa và lây nhiễm vào thiết bị. 

Các chiến dịch gần đây của Ursnif còn sử dụng kỹ thuật tinh vi hơn, đó là chỉ khởi động PowerShell sau khi người dùng đóng tệp chứa phần mềm độc hại. Tức là một khi đã bấm vào thì dù có đóng tệp tin, mã độc vẫn bị lan truyền. Phương pháp này giúp phần mềm độc hại tránh được việc bị phát hiện."

Các nhà nghiên cứu quan sát thấy rằng các chiến dịch thường diễn ra tuần hoàn theo chu kỳ, thường vào tối thứ 3 hàng tuần, tăng đột biến vào các ngày thứ 5 và thứ 6.

Lần đầu tiên bị phát hiện vào năm 2007, Ursnif đã lừa đảo trực tuyến hàng loạt ngân hàng ở các quốc gia nói tiếng Anh. Trong năm 2010, mã nguồn của phần mềm độc hại này đã bị vô hiệu hóa bởi một nhóm hacker và tạo ra các trojan khác như Vawtrak và Neverquest.

Kessem giải thích: "Lịch sử tội phạm mạng có tổ chức ở Nhật Bản không phải quá dài nhưng chúng luôn có đủ nguồn lực và thủ thuật để tấn công tinh vi hơn, kiếm tiền dễ dàng hơn và luôn gây bất ngờ cho người dùng lẫn giới chuyên môn. Đối với người dùng ít nhận thức về việc lừa đảo trực tuyến và không nắm chắc các kỹ thuật phòng tránh trong suốt phiên giao dịch ngân hàng thì chắc chắn tỉ lệ bị tấn công rất cao."

Ông nói thêm: "Ngoài vụ Ursnif, các nhóm hacker có tổ chức khác như Dridex và TrickBot cũng đã bị phát hiện nhắm đến các ngân hàng ở 40 quốc gia, nhưng lại trừ Nhật Bản. Điều này cho thấy ngay cả trên Internet, các băng nhóm tội phạm mạng cũng phân chia thị trường riêng để tránh đụng chạm và triệt tiêu lẫn nhau."

quan tâm HOÀNG THƯ
Top