Shifu – Trojan Ngân hàng tấn công Nhật Bản

Một Trojan Ngân hàng mới được sử dụng tấn công hàng chục ngân hàng Nhật Bản – theo báo cáo của IBM. Trojan mới có tên Shifu, trong tiếng Nhật có nghĩa là “đánh cắp”, đã được tìm thấy từ tháng 4. Shifu được thiết kế tấn công các ngân hàng Nhật và nền tảng ngân hàng điện tử e-banking tại châu Âu.

Hiện tại, malware chủ yếu hoạt động tại Nhật Bản với 14 đối tượng ngân hàng tấn công. Các nhà nghiên cứu cho biết Shifu là một Trojan phức tạp, sử dụng lại những tính năng nổi bật của các loại malware khác. Mối đe dọa này sử dụng một thuật toán sinh tên miền (DGA) giống với Shiz Trojan, cơ chế chống bảo mật, chống nghiên cứu từ Zeus VM, một file cấu hình tương tự trong Dridex và cơ chế “tàng hình” từ Gozi. Ngoài ra, Shifu còn có thể xóa sạch điểm khôi phục hệ thống cục bộ trên máy tính như sâu Conficker phát hiện vài năm trước.

Shifu chứa chức năng keylogger, cơ chế tấn công trình duyệt và lây nhiễm web, thu thập ảnh chụp màn hình, thu thập chứng chỉ số, công cụ truy cập và điều khiển từ xa (RAT), ứng dụng theo dõi và công cụ ngăn chặn nghiên cứu mã nguồn. Nó còn có thể thêm những tính năng khác thông qua tại module từ máy chủ điều khiển (C&C).

Trojan được thiết kế chụp lại mật khẩu mà nạn nhân gõ, thu thập thông tin ủy quyền nhập bởi người dùng điền vào form trực tiếng, đánh cắp chứng chỉ riêng tư, đánh cắp token xác thực của ứng dụng ngân hàng, trích xuất dữ liệu từ thẻ thông minh gắn với thiết bị. Trong nền tảng ngân hàng điện tử, Trojan tấn công chữ kí số do ngân hàng cấp cho người dùng. Từ đó tin tặc có thể reset mã PIN và giả dạng thành người dùng.

Bằng chứng từ các nhà nghiên cứu IBM cho biết phát triển Shifu là một người Nga. Tuy nhiên, rất có thể tin tặc muốn che mắt các chuyên gia bằng cách sử dụng comment tiếng Nga và những ký tự có nghĩa trong tiếng Nga.

securityweek