Mã độc Zeus Banking Trojan quay trở lại
Một tháng sau khi FBI và Europol gỡ các botnet Gameover Zeus bằng cách thu giữ các máy chủ, làm cho hệ thống botnet ngừng hoạt động, các nhà nghiên cứu bảo mật đã phát hiện một biến thể mới của phần mềm độc hại này trên máy tính người dùng, chúng đang hình thành một mạng botnet khổng lồ. ...
Một tháng sau khi FBI và Europol gỡ các botnet Gameover Zeus bằng cách thu giữ các máy chủ, làm cho hệ thống botnet ngừng hoạt động, các nhà nghiên cứu bảo mật đã phát hiện một biến thể mới của phần mềm độc hại này trên máy tính người dùng, chúng đang hình thành một mạng botnet khổng lồ.
Gameover Zeus Trojan
Botnet này thực chất là tập hợp các máy tính zombie đặc biệt được thiết kế để đánh cắp mật khẩu ngân hàng, thực hiện tấn công từ chối dịch vụ (DoS) vào các ngân hàng và tổ chức tài chính khác để từ chối người dùng hợp pháp truy cập vào trang web, từ đó lấy trộm thông tin từ người sử dụng. Và theo đó, những kẻ phát triển Gameover Zeus đã đánh cắp hơn 100 triệu USD từ các ngân hàng, doanh nghiệp và người tiêu dùng trên toàn thế giới.
Gameover Zeus Trojan mới
Vừa qua, các nhà nghiên cứu bảo mật tại công ty an ninh Malcovery đã kiểm tra một loạt các chiến dịch thư rác mới nhằm phát tán một phần của phần mềm độc hại dựa trên mã nguồn của Gameover Zeus và được phát tán như một file đính kèm trong thư rác, các email phát tán lừa đảo dưới hình thức là các email hợp pháp từ các tổ chức tài chính.
Hướng tấn công
Malcovery đã có một công bố đầy đủ và tóm tắt về các botnet, cho thấy tất cả các email độc hại được gửi để thu hút người sử dụng có chứa một file zip với một tập tin .scr đính kèm bên trong. Khi mở ra, các tập tin sẽ tấn công vào máy tính và mối đe dọa này rất nguy hiểm khi mà nhiều các giải pháp chống virus không thể phát hiện ra. Hai nhà phân tích Brendan Griffin và Gary Warner của Malcovery nói “Một khi các tập tin đính kèm được mở ra và phần mềm độc hại được thực thi, chúng sẽ kết nối đến một số trang web phù hợp với một Domain được sinh ra theo một thuật toán. Mục tiêu là để liên lạc với một máy chủ và có thể lần lượt cung cấp hướng dẫn cho các phần mềm độc hại với các mục đích tấn công. Một số sẽ thất bại khi khởi động phần mềm độc hại vì có sự hiện diện của VMWare Tools ngăn chặn. Một số khác sẽ không kết nối thành công vì các phần mềm độc hại phải mất từ 6 đến 10 phút để tạo ra ngẫu nhiên các tên miền duy nhất được sử dụng để khởi động Zeus Trojan mới và tải về các thông tin ngân hàng từ các tập tin webinject trên máy chủ. ”
Botnet gameover Zeus mới này rõ ràng mạnh mẽ hơn phiên bản trước. Như Malcovery viết “phát hiện này chỉ ra rằng những tên tội phạm chịu trách nhiệm phân phối gameover không hề có ý định từ bỏ botnet này, ngay cả khi đã từng bị gỡ bỏ với qui mô rộng nhất trong lịch sử”.
