Tin tặc sử dụng dịch vụ của Google để điều khiển mã độc ngân hàng

Carbanak – một trong những nhóm tin tặc đánh cắp hơn 1 tỉ USD từ 100 ngân hàng trên 30 quốc gia năm 2015 đã quay trở lại. Nhóm tin tặc này đang lợi dụng các dịch vụ khác nhau của Google để kiểm soát và điều khiển mã độc.

Các nhà nghiên cứu bảo mật tại Forcepoint cho biết, trong khi điều tra về một khai thác đang gửi đi dưới dang một tệp tin đính kèm (dịnh dạng RTF), họ đã phát hiện ra nhóm tin tặc Carbanak sử dụng dịch vụ của Google để kiểm soát và điều khiển mã độc (C&C).

Tài liệu đính kèm được tích hợp đối đượng liên kết và nhúng (OLE) chứa một VBScript (Visual Basic Script) đã từng được Carbanak sử dụng trước đó. Tin tặc sẽ dùng kĩ thuật social engineering khiến nạn nhân nhấn vào biểu tượng để “mở nội dung” bị ẩn.

Ngay khi nạn nhấn nhấn vào hình ảnh, một hộp thoại sẽ hiển thị yêu cầu nạn nhân chạy tệp tin unprotected.vbe. Sau đó mã độc sẽ được thực thi, gửi đi và nhận lệnh điều khiển từ dịch vụ Google Apps Script, Google Sheets và Google Forms.

Tin tặc sử dụng các kênh dịch vụ của Google bắt nguồn từ việc rất nhiều tổ chức và công ty mặc định sử dụng các dịch vụ này. Tin tặc sẽ dễ dàng khai thác và đưa dữ liệu ra ngoài.

Carbanak hay còn được gọi với tên Anunak, là một trong những nhóm tin tặc thành công nhất trên thế giới. Đây là một nhóm được tổ chức chuyên nghiệp và thường xuyên triển khai các chiến dịch tấn công không gian mạng khác nhau. Năm 2015, Carbanak chủ yếu tấn công vào các công ty tài chính và đã đánh cắp hơn 1 tỉ USD từ các ngân hàng trên toàn cầu.

Forcepoint đã thông báo vấn đề tới Google và đang tiếp tục xử lý vụ việc.

THN