17/09/2018, 22:57

Mã độc Dyre Banking sử dụng 285 máy chủ C&C

Các nhà nghiên cứu phát hiện rằng tội phạm mạng điều khiển Trojan Dyre banking đã xây dựng được một cơ sở hạ tầng đầy ấn tượng lên tới hàng trăm máy chủ, với nhiệm vụ thiết kế để duy trì và mở rộng hoạt động của các mã độc. Một báo cáo của Symantec công bố vào thứ ba (23/6) nghiên cứu sâu vào ...

Các nhà nghiên cứu phát hiện rằng tội phạm mạng điều khiển Trojan Dyre banking đã xây dựng được một cơ sở hạ tầng đầy ấn tượng lên tới hàng trăm máy chủ, với nhiệm vụ thiết kế để duy trì và mở rộng hoạt động của các mã độc.

Một báo cáo của Symantec công bố vào thứ ba (23/6) nghiên cứu sâu vào ngành kinh doanh mã độc khốc liệt, tiết lộ việc một tổ chức mà thành viên làm việc năm ngày một tuần.

Hoạt động ăn cắp tiền của Dyre dựa trên một mô hình nổi tiếng, với trình duyệt web bị tấn công để theo dõi các phiên duyệt web và chuyển hướng nạn nhân đến các trang web giả mạo hoặc làm thay đổi nội dung của các trang web để nắm bắt các thông tin đăng nhập ngân hàng trong các sự kiện man-in-the-browser.

Nhiều nhóm khác nhau có thể tham gia vào hoạt động này

Nhưng không giống các mã độc cùng tính năng, mã độc này đã nâng lên cấp cao hơn, với hơn 285 máy chủ C&C, 44 máy khác phân phối plugin và các payload bổ sung, hoặc thực hiện các cuộc tấn công giả mạo (MitB).

Tội phạm mạng đã tổ chức các máy chủ điều khiên C&C theo cách cho phép chỉ 2 địa chỉ IP được sử dụng cùng lúc, cho các nhiệm vụ C&C và mô-đun phân phối.

Hầu hết các máy chủ C&C (227 máy) đã được xác định chính xác ở Ukraine và Nga, nhưng cơ sở hạ tầng này cũng lan đến Ba Lan, Bulgaria, Andorra, Hà Lan, Serbia, Moldova, Hungary, Đức, Pháp, Cộng hòa Séc, Áo, Bulgaria, Slovakia và Mỹ.

Symantec cho biết các máy này đã thực hiện các cuộc tấn công MitB và lây lan các mã độc hại khác cho nạn nhân chủ yếu ở các nước châu Âu, phía bên ngoài Nga và Ukraine.

Các nhà nghiên cứu đã xác định rằng các hoạt động của tội phạm mạng diễn ra vào khoảng từ 03:00 đến 22:00 và tương ứng với vùng thời gian UTC +2 hoặc  UTC +3, điều này cho thấy những kẻ tấn công là từ Đông Âu hoặc Nga.

Dyre nhắm mục tiêu chủ yếu đến người dùng ở Mỹ và Anh

Thông tin thu thập được từ các mẫu đã thu được cho thấy tối thiểu 1.000 URL đơn lẻ thuộc hàng trăm tổ chức tài chính bị nhắm mục tiêu, chủ yếu ở Mỹ và Anh.

Các ngân hàng ở các nước khác cũng đang trong tầm ngắm, top 10 nước bao gồm Úc, Đức, Pháp, New Zealand, Romania, Canada, Malaysia, và Mexico.

Tuy nhiên, mã độc này cũng tập trung vào các đơn vị khác có liên quan đến lĩnh vực tài chính, chẳng hạn như các dịch vụ thanh toán điện tử, người dùng tiền tệ kỹ thuật số. Trong nỗ lực mở rộng cơ sở hạ tầng C&C, kẻ tấn công cũng nhắm mục tiêu một số công ty web-hosting.

Sau sự sụp đổ của Gameover Zeus và Shylock, Dyre đã phát triển rất nhanh. Tính đến thời tới điểm hiện nó được coi là một trong những Trojans tài chính nguy hiểm nhất, “Một mã độc phát triển cao, có khả năng tấn công tất cả ba trình duyệt web lớn và ngăn chặn các phiên giao dịch internet banking để thu thập các thông tin của nạn nhân và gửi chúng tới kẻ tấn công”, Symantec cho biết trong báo cáo.

Softpedia

0