(Không gian mạng) - Ngày 18/01, hãng bảo mật Forcepoint (Mỹ) báo cáo phát hiện một chiến dịch email gần đây đang lợi dụng các máy chủ FTP (File Transfer Protocol: giao thức chuyển nhượng tập tin) bị xâm nhập và làm nơi tải về các tài liệu độc, lây nhiễm mã độc ngân hàng (banking trojan) Dridex vào máy người dùng.

dridex-banking-trojan

Dridex là một trong những trojan ngân hàng hoạt động mạnh mẽ nhất trong nhiều năm qua. Nhóm tin tặc thiết kế mã độc này liên tục cập nhật các kỹ thuật mới và phát triển mã độc của mình ngày càng trở nên nguy hiểm. Mã độc Dridex chủ yếu lấy cắp thông tin tài khoản ngân hàng trực tuyến của nạn nhân để thực hiện các hành vi lừa đảo tài chính.

Email chứa mã độc được xem là một phần của chiến dịch mới này được các nhà nghiên cứu phát hiện vào ngày 17/01/2018, chủ yếu gửi đến những tên miền .com thuộc dạng phổ biến hàng đầu (top level domains – TDL). Bản phân tích các TDL bị ảnh hưởng cho thấy khu vực bị ảnh hưởng nhiều nhất là Pháp, Anh và Úc.

Email độc hại được gửi từ những tài khoản đã bị xâm nhập trước đó, sử dụng tên người gửi xoay vòng theo một danh sách tên để làm cho các email này trông thật và không bị người nhận nghi ngờ.

Tác giả của mã độc trên sử dụng 2 loại tài liệu độc để làm cơ chế lây nhiễm, một là tài liệu dạng Word lợi dụng giao thức DDE (Dynamic Data Exchange) để thực thi mã độc; và một là tập tin XLS chứa code macro để truy xuất mã độc.

Những máy chủ bị lây nhiễm trong chiến dịch này không cùng chạy một phần mềm FTP giống nhau, từ đó các nhà nghiên cứu tin rằng tin tặc đã lấy được thông tin đăng nhập từ các đợt tấn công khác. Forcepoint lưu ý, thủ phạm của chiến dịch này không quan tâm đến việc tiết lộ thông tin nhận dạng của các trang FTP mà chúng lạm dụng, và việc những trang đã bị xâm nhập cũng tiềm ẩn nguy cơ có thể bị các nhóm khác tiếp tục lợi dụng.

Những email trong chiến dịch lần này được phát hiện đến từ mạng botnet Necurs, được xem là mạng bonet gửi đi thư rác lớn nhất hiện nay. Các tên miền được sử dụng trong chiến dịch này và tài liệu công cụ tải về cũng tương tự với những tài liệu được sử dụng trong các chiến dịch Necurs trước đây. Hơn nữa, mạng botnet Necurs vẫn được biết đến như một công cụ phát tán Dridex trong một thời gian dài.

Tuy nhiên, điều mà Forcepoint lưu ý trong chiến dịch lần này là mức độ thư rác không cao như các chiến dịch Necurs trước. Chỉ khoảng 9.500 email được gửi đi, trong khi các chiến dịch Necurs thông thường gửi đi hàng triệu email. Và cách thức lợi dụng máy chủ FTP để tải về mã độc cũng là mới.

Forcepoint cho biết: “Tội phạm mạng đang liên tục cập nhật phương thức tấn công để đảm bảo mức lây nhiễm tối đa. Trong trường hợp này, chúng sử dụng các trang FTP. Có thể đây là một nỗ lực để tránh bị các cổng quét email và các chính sách hệ thống mạng phát hiện vì tin tưởng giao thức FTP là một địa chỉ đáng tin cậy. Sự hiện diện của thông tin đăng nhập FTP trong các email đã cho thấy tầm quan trọng của việc thường xuyên cập nhật mật khẩu”.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm:
Thích và chia sẻ bài này trên