BadRabbit chưa lắng xuống, Ursnif đã trở lại và lợi hại hơn

Đăng ngày: 02/11/2017
Với kỹ thuật tấn công mới, hacker đứng đằng sau Ursnif đã đẩy mạnh các chiến dịch spam để phát tán phần mềm độc hại. – Ảnh: ISTOCK.

Ursnif là một mã độc xuất hiện vào năm 2014, đánh cắp hàng loạt dữ liệu về giáo dục, tài chính, sản xuất tại Anh, Mỹ, Canada… Ursnif cũng hoạt động mạnh mẽ trong năm 2016 trước khi trở lại và bùng nổ từ quý 3 năm nay với mục tiêu nhắm đến là các ngân hàng Nhật Bản. Với kỹ thuật tấn công mới, hacker đứng đằng sau Ursnif đã đẩy mạnh các chiến dịch spam để phát tán phần mềm độc hại.

Limor Kessem, cố vấn bảo mật của IBM cho biết: “Ursnif hoạt động mạnh nhất trong lĩnh vực tài chính vào năm 2016 và vẫn duy trì sự thống trị của nó trong năm 2017 khi trở lại. Dù cách thức tấn công của mỗi chiến dịch là khác nhau nhưng hầu như mục tiêu tấn công không hề thay đổi, cho thấy khả năng chỉ có cùng một nhóm hacker đứng đằng sau.”

Tuy nhiên, nếu như trước đây Ursnif chỉ lây nhiễm thông qua việc phát tán thư rác và phần mềm chứa trojan thì giờ đây, nó còn nhắm mục tiêu người dùng webmail, lưu trữ đám mây, các nền tảng giao dịch tiền điện tử và các trang web thương mại điện tử.

Các tác nhân đe dọa đã mở rộng và hacker đã sử dụng nhiều kỹ thuật khác nhau bao gồm lấy dữ liệu từ các phiên bảo mật, lợi dụng lỗ hổng web để tấn công vào câu lệnh cơ sở dữ liệu thông qua chèn các đoạn mã độc vào SQL và chuyển hướng trang. Chúng còn sử dụng các tệp đính kèm giả mạo như được gửi từ các nhà cung cấp dịch vụ tài chính tại Nhật Bản.

Kessem cho biết: “Trong các thư spam, người dùng sẽ nhận được một liên kết HTML dẫn đến tệp lưu trữ (.zip) chứa JavaScript, nếu bấm vào thì sẽ thực thi lệnh PowerShell kết nối máy chủ từ xa và lây nhiễm vào thiết bị.

Các chiến dịch gần đây của Ursnif còn sử dụng kỹ thuật tinh vi hơn, đó là chỉ khởi động PowerShell sau khi người dùng đóng tệp chứa phần mềm độc hại. Tức là một khi đã bấm vào thì dù có đóng tệp tin, mã độc vẫn bị lan truyền. Phương pháp này giúp phần mềm độc hại tránh được việc bị phát hiện.”

Các nhà nghiên cứu quan sát thấy rằng các chiến dịch thường diễn ra tuần hoàn theo chu kỳ, thường vào tối thứ 3 hàng tuần, tăng đột biến vào các ngày thứ 5 và thứ 6.

Kessem giải thích: “Lịch sử tội phạm mạng có tổ chức ở Nhật Bản không phải quá dài nhưng chúng luôn có đủ nguồn lực và thủ thuật để tấn công tinh vi hơn, kiếm tiền dễ dàng hơn và luôn gây bất ngờ cho người dùng lẫn giới chuyên môn. Đối với người dùng ít nhận thức về việc lừa đảo trực tuyến và không nắm chắc các kỹ thuật phòng tránh trong suốt phiên giao dịch ngân hàng thì chắc chắn tỉ lệ bị tấn công rất cao.”

Ông nói thêm: “Ngoài vụ Ursnif, các nhóm hacker có tổ chức khác như Dridex và TrickBot cũng đã bị phát hiện nhắm đến các ngân hàng ở 40 quốc gia, nhưng lại trừ Nhật Bản. Điều này cho thấy ngay cả trên Internet, các băng nhóm tội phạm mạng cũng phân chia thị trường riêng để tránh đụng chạm và triệt tiêu lẫn nhau.”

– Ban Truyền thông iSpace –

(Tổng hợp theo http://nhipsongso.tuoitre.vn/badrabbit-chua-lang-xuong-ursnif-da-tro-lai-va-loi-hai-hon-2017103014270704.htm )

CHỌN AN NINH MẠNG, CHỌN iSPACE
– 100% học thực hành, chuyên sâu đúng ngành (không lý thuyết hàn lâm, không học chung chung).
– Người học được trực tiếp đối mặt với các kịch bản tấn công, phòng thủ mạng trên hệ thống Thao trường mạng (Cyber Range) duy nhất tại Việt Nam; được huấn luyện các kỹ năng và quy trình xử lý, ứng phó với các sự cố an ninh mạng dồn dập, bất ngờ như những gì đang diễn ra trên thực tế.
– Ký hợp đồng “Đào tạo & Tuyển dụng” trước nhập học, sinh viên không phải tự xin việc làm.
– Điều kiện: tốt nghiệp THPT
– Hotline: 0938 205 466
– Khai giảng đợt cuối năm 2017: 17/11

    Bài liên quan

    2017 Designed by iweb247.vn
    ĐĂNG KÝ TRỰC TUYẾN