Sinh viên 20 tuổi viết 100 chương trình phần mềm độc hại trong hai năm

Hãng bảo mật Trend Micro đã xác định được một sinh viên đại học Brazil 20  tuổi phải chịu trách nhiệm cho việc phát triển và phân phối trên 100 Trojans ngân hàng trị giá mỗi cái khoảng 300 USD.

Được biết tới với tên trên mạng là ‘Lordfenix’, ‘Hacker’s Son’ và ‘Filho de Hacker’, sinh viên khoa học máy tính này đã bắt đầu sự nghiệp của mình bằng cách gửi bài lên diễn đàn, xin chương trình giúp đỡ cho một Trojan anh ta đã phát triển, các nhà nghiên cứu cho biết.

Phát triển hơn 100 Trojan

Tuy nhiên, Lordfenix đã “phát triển khá tự tin kỹ năng của mình” và bắt đầu phát triển và phân phối phần mềm độc hại được thiết kế để ăn cắp thông tin tài chính ít nhất là từ năm 2013.

“Dựa trên nghiên cứu của chúng tôi, Lordfenix đã tạo ra hơn 100 Trojans ngân hàng khác nhau, chưa kể các công cụ độc hại khác của anh ta, kể từ tháng 4/2013”, Trend Micro cho biết. “Với mỗi Trojan trị giá khoảng 320 USD, tên tội phạm trẻ này tận dụng tài năng của mình trong việc viết chương trình vào một liên doanh sinh lợi bất hợp pháp”.

Trend Micro cũng đã cung cấp hình ảnh trên tường Facebook của hacker này, trong đó tin tặc trẻ khoe những khoản lợi nhuận mình kiếm được. Sinh viên 20 tuổi này đã viết 100 chương trình malware trong hai năm

Hacker cung cấp các phiên bản mã độc Banking miễn phí

Để mở rộng hoạt động của mình, Lordfenix hiện đã bắt đầu cung cấp phiên bản miễn phí của mã nguồn Trojan ngân hàng đầy đủ chức năng mà các tội phạm mạng khác trên diễn đàn chợ đen mong muốn.

Các phiên bản miễn phí của các Trojan có thể được sử dụng để đánh cắp thông tin đăng nhập từ các khách hàng của bốn trang web ngân hàng Brazil khác nhau bao gồm HSBC Brazil, Ngân hàng Brazil, và Caixa. Để truy cập vào các tổ chức tài chính khác, ‘khách hàng’ phải trả tiền cho một công cụ mạnh mẽ hơn, TSPY_BANKER.NJH.

TSPY_BANKER.NJH là một Trojan có khả năng nhận biết khi người dùng nhập bất kỳ URL của ngân hàng mục tiêu nào vào trình duyệt của họ. Phần mềm độc hại này sau đó tắt cửa sổ trình duyệt (nếu nó đang chạy trên Google Chrome), hiển thị một thông báo lỗi, và sau đó sẽ mở ra một cửa sổ Chrome giả.

Khi nạn nhân gõ các chi tiết đăng nhập vào cửa sổ giả,  thông tin được gửi về địa chỉ những kẻ tấn công qua email.

Để phòng ngừa, malware của Lordfenix cũng bao gồm một chương trình phần mềm để chấm dứt một quá trình bảo mật được gọi là GbpSV.exe, được sử dụng bởi số lượng lớn các ngân hàng Brazil trong nỗ lực giữ an toàn cho dữ liệu khách hàng trực tuyến của họ.

Malware đe dọa tới hoạt động giao dịch qua ngân hàng trực tuyến đang phát triển nhanh chóng tại các nước giống như Brazil, nơi gần như một nửa của tất cả các giao dịch tài chính được thực hiện trực tuyến.

THN