Website .EDU bị xâm nhập để gửi email chứa mã độc Zeus-Laden

Trojan Zeus đã bị phát hiện được phát tán thông qua tập tin đính kèm độc hại của email gửi từ địa chỉ một tổ chức giáo dục.

Tin nhắn tuyên bố một thông báo cho một số xác nhận thanh toán (tiêu đề là “thanh toán đã được thực hiện”), với các tài liệu độc hại có sẵn trong tập tin đính kèm.

Sau khi kiểm tra tập tin, các nhà nghiên cứu từ PhishMe xác định các tập tin tải về chứa mã độc Zeus Trojan, còn được biết đến dưới cái tên Zbot. Sau khi phân tích mã độc, payload được lấy ra là một danh sách địa chỉ IP Zeus theo dõi.

Phần mềm độc hại có chức năng đánh cắp thông tin bí mật từ hệ thống bị xâm nhập, bao gồm cả mật khẩu ngân hàng và tài khoản người dùng.

Các tên miền EDU được sử dụng dành riêng cho các viện nghiên cứu, cơ quan giáo dục và các địa chỉ email của họ không bao gồm trong danh sách đen vì mức độ tin cậy cao hơn.

Đây chỉ là một lý do tội phạm mạng muốn xâm nhập tên miền EDU. Lý do khác là thực tế các trường đại học cần phải đáp ứng nhu cầu Internet của số lượng lớn các cá nhân và do đó họ cần băng thông rất lớn.

Theo Ronnie Tokazowski từ PhishMe, “các trường đại học thường nằm trong làn sóng các cuộc tấn công thường có với số lượng 25,000-30,000 sinh viên đăng ký học”.

Mục đích độc hại

Kỹ năng tấn công “phi kỹ thuật” của những kẻ lừa đảo đang trở nên tốt hơn và thậm chí nếu không có dấu hiệu của sự lừa đảo có thể được phát hiện trong chính tin nhắn, đa số các lần các đầu mối tốt nhất là trong tập tin đính kèm.

Trừ khi chúng ta đang nói về một tập tin văn bản rất lớn, một kho lưu trữ là một tài liệu luôn đáng nghi ngờ, càng đáng ngờ hơn nếu chỉ có một mục được nén. Văn bản nén rất tốt, nhưng một đơn hàng hoặc hóa đơn không yêu cầu loại xử lý này.

Một phần khác của phần mềm độc hại được phát tán trong chiến dịch email độc hại gần đây là Poweliks, một mối đe dọa không để lại dấu vết trên đĩa cứng, khiến nó khó bị phát hiện.

Softpedia