Mã độc MA tấn công ngân hàng và các tổ chức tài chính

Đặc điểm chính và nguy hiểm của Mã độc MA à nó không có copy tập tin nào lên đĩa cứng mà chỉ tiêm nhiễm trực tiếp vào bộ nhơ của tiến trình đang hoạt động. Vì lý do đó rất khó để forensic vì khi tắt máy sẽ bị xóa dữ liệu trong RAM. Để có thể dò tìm mã độc Filess Malware trước tiên ta phải thu thập bộ nhớ máy tính ví dụ với Dump IT hay FTK Imager Manager.

Mã độc “Fileless Malware” tấn công ngân hàng và các tổ chức tài chính

Đã có hơn 140 ngân hàng ở 40 nước bị dính malware có khả năng ẩn mình trong bộ nhớ máy tính để âm thầm ăn cắp mật khẩu và thông tin tài chính.

Các chuyên gia bảo mật tại Kaspersky cho biết mã độc có tên Duqu 2.0 không được phát hiện trên ổ cứng mà nằm trong bộ nhớ RAM của những máy tính bị khống chế, nên được đánh giá là “vô hình” khi chúng âm thầm thu thập dữ liệu nhạy cảm. Khi một máy tính nhiễm mã độc khởi động lại, mọi dấu vết hoạt động của malware cũng biến mất.

Hơn 140 mạng lưới doanh nghiệp gồm ngân hàng, tổ chức chính phủ, các công ty viễn thông từ 40 nước đã dính Duqu 2.0. Tội phạm mạng nhắm vào những máy tính điều khiển các hệ thống ATM nhằm ra lệnh cho chúng nhả tiền.

“Các ngân hàng chưa chuẩn bị đầy đủ để đối phó với những cuộc tấn công thế này”, chuyên gia Kurt Baumgartner của Kaspersky nhận định. Hãng bảo mật cho biết đây là mã độc tinh vi từng được các hacker khai thác để thực hiện các cuộc chiến tranh mạng ở tầm quốc gia.

Ảnh minh họa: ComputerWorld

Ảnh minh họa: ComputerWorld

Các công ty Mỹ bị nhắm đến nhiều nhất với 21 cuộc tấn công, tiếp đến là 10 ở Pháp, 9 ở Ecuador, 8 ở Kenya, 7 ở Anh và Nga. Do mã độc ẩn mình quá kỹ và các bằng chứng bị xóa sạch sau khi khởi động máy, con số lây nhiễm trên thực tế còn cao hơn rất nhiều những gì được thống kê.

Kẻ tấn công đã rất thông minh khi tải mã độc vào RAM thay vì ổ cứng để không bị phát hiện. Chúng cũng sử dụng những tên miền đã hết hạn, không còn chứa thông tin trên WHOIS.

Kaspersky đã theo dõi Duqu 2.0, được cho là có nguồn gốc từ Stuxnet, từ năm 2015 khi chính hệ thống của họ – một công ty chuyên về bảo mật nổi tiếng thế giới – lại bị hacker thâm nhập thông qua một chiến dịch có chi phí 10 triệu USD. Khi đó, Duqu 2.0 được phát tán nhằm thu thập, ăn trộm thông tin về những công nghệ mới của hãng.

Kaspersky mô tả cuộc tấn công cách đây hai năm là “một trong những chiến dịch tinh vi nhất họ từng chứng kiến”. Mã độc không ghi bất kỳ file nào ra ổ đĩa, mà thay vào đó chỉ hoạt động trong bộ nhớ (RAM) nên rất khó bị phát hiện. Giờ đây, mã độc tinh xảo này đang tiếp tục lan rộng với mục đích đánh cắp tiền của ngân hàng trên toàn cầu.

Nguồn gốc của Duqu

Tháng 9/2010, Iran cho biết một số máy tính trong chương trình hạt nhân của họ bị lây nhiễm bởi một virus bí ẩn mang tên Stuxnet. Stuxnet được đánh giá là “độc hại một cách bất thường” và là phần mềm đầu tiên được lập trình với mục đích kiểm soát các hệ thống liên quan đến các công trình trọng điểm của ngành công nghiệp.

Năm 2012, nhà báo David Sanger của New York Times tiết lộ thông tin gây sốc: Stuxnet là do chính quyền Barack Obama hậu thuẫn (dù trước đó Mỹ phủ nhận liên quan đến sâu này). Với sự trợ giúp của Israel, Mỹ xây dựng chương trình thâm nhập vào nhà máy hạt nhân Natanz của Iran với nhiệm vụ ghi lại thiết kế của hệ thống chịu trách nhiệm kiểm soát máy ly tâm tinh chế uranium nằm sâu dưới lòng đất. Sau khi có sơ đồ chi tiết, họ tung ra virus siêu hạng để điều khiển hệ thống bị lây nhiễm từ xa. Virus đó không bị lộ cho đến khi một lỗi lập trình xảy ra khiến nó lọt ra ngoài cơ sở Natanz vào năm 2010, lây lan trên diện rộng trên Internet và trở nên nổi tiếng với tên gọi Stuxnet.

Trong khi đó, Duqu, được biết đến từ năm 2011, được tạo trên nền tảng phần mềm chung với Stuxnet. Các chuyên gia bảo mật nhận định cả hai có cùng tác giả. “Không nghi ngờ về việc Stuxnet và Duqu được viết với sự quan tâm của một chính phủ nào đó, nhưng chính phủ nào thì không có bằng chứng”, Kaspersky cho hay.

Ước tính Stuxnet và Duqu đã loại bỏ khoảng 1.000 trong số 5.000 máy ly tâm ở Natanz bằng cách kích hoạt và quay chúng ở tốc độ cực cao dẫn đến hỏng hóc.

Tới giữa năm 2012, đến lượt Flame – được mệnh danh là sâu máy tính tinh xảo nhất mọi thời đại – lộ diện. Flame bị phát hiện đang bí mật lùng sục trên các máy tính bị lây nhiễm ở Trung Đông và virus này cũng được cho là do một chính phủ nào đó hậu thuẫn. Bộ an ninh nội địa Mỹ tuyên bố không có bằng chứng Flame liên quan đến Stuxnet hay Duqu.

Mã độc “Fileless Malware” tấn công ngân hàng và các tổ chức tài chính

Hơn một trăm ngân hàng và đơn vị tài chính trên khắp thế giới đã bị lây nhiễm một mã độc vô cùng nguy hiểm và phức tạp. Mã độc mới được xây dựng dựa trên bộ nhớ khiến nó hầu như không thể phát hiện.

Một báo cáo mới được đăng tải bởi Kaspersky Lab cho biết tin tặc đang tấn công ngân hàng, công ty viễn thông và tổ chức chính phủtrong 40 quốc gia bao gồm Hoa Kì, Nam Mỹ, Châu Âu và Châu Phi. Mã độc Fileless nằm trong bộ nhớ của máy tính  (không tồn tại dưới dạng tệp tin).

Fileless là một phần mềm độc hại không sao chép bất cứ tệp tin và thư mục nào vào ổ đĩa cứng khi thực thi. Thay vào đó, dữ liệu độc hại được đưa trực tiếp vào bộ nhớ của tiếng trình đang chạy và mã độc thực thi ngay trên RAM. Việc điều tra số và lần vết mã độc trở nên khó khăn do bộ nhớ sẽ được giải phóng khi máy tính khởi động lại.

Sau khi thực hiện phân tích, các nhà nghiên cứu Kaspersky phát hiện tin tặc lợi dụng Windows PowerShell để đưa phần mã độc trực tiếp vào bộ nhớ thay vì ghi ra đĩa. Mã độc sử dụng công cụ mạng NETSH của Microsoft để thiết đặt kênh proxy cho việc giao tiếp với máy chủ điều khiển từ xa (C&C).

Mục đích cuối cùng của tin tặc là xâm nhập vào máy tính điều khiển máy rút tiền tự động ATM để có thể đánh cắp tiền. Kaspersky có dự định tiết lộ thêm chi tiết về các cuộc tấn công vào tháng 4.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s