Nguyễn Phú Trọng » An ninh Quốc phòng – Biển Đảo » EternalBlue tiếp tục bị lợi dụng để phát tán trojan ngân hàng Retefe

(Không gian mạng) - Hãng bảo mật Proofpoint (Mỹ) phát hiện một chiến dịch phát tán mã độc ngân hàng Retefe nhờ khai thác lỗ hổng EternalBlue, chỉ nhắm mục tiêu vào ngân hàng Thụy Sĩ.

Tuy nhiên, không giống như các cuộc tấn công phát tán mã độc trước đó từng khai thác lỗ hổng EternalBlue, chiến dịch này không lợi dụng lỗ hổng để mở rộng lây lan trong hệ thống mạng.

EternalBlue là một công cụ do Cơ quan An ninh Quốc gia Mỹ thiết kế và bị rò rỉ vào tháng 04/2017, khai thác một lỗ hổng trong Server Message Block (SMB) của Windows trên cổng 445, cho phép tin tặc triển khai thực thi mã độc tự động trên các hệ thống có lỗ hổng. Microsoft cũng đã phát hành bản vá cho lỗ hổng này.

EternalBlue khai thác một lỗ hổng trong Server Message Block (SMB) của Windows trên cổng 445, cho phép tin tặc triển khai thực thi mã độc tự động trên các hệ thống có lỗ hổng

EternalBlue khai thác một lỗ hổng trong Server Message Block (SMB) của Windows trên cổng 445, cho phép tin tặc triển khai thực thi mã độc tự động trên các hệ thống có lỗ hổng

Công cụ này đã trở nên phổ biến hơn sau khi bị lợi dụng để phát tán mã độc tống tiền WannaCry vào tháng 05/2017. Bên cạnh đó còn có nhiều phần mềm độc khác cũng đã lợi dụng công cụ này nhiều tuần.

Trong chiến dịch mới phát tán Retefe, hãng Proofpoint thu thập được một số mẫu bắt đầu từ ngày 05/09, cho thấy tin tặc đã sử dụng EternalBlue như một kỹ thuật mới để tiếp cận vào hệ thống mạng mục tiêu.

Về Retefe, đây là một trojan ngân hàng hoạt động từ năm 2013, được biết đến qua các chiến dịch nhắm mục tiêu vào người dùng ở Áo, Thụy Điển, Thụy Sĩ và Nhật Bản. Mã độc này hoạt động bằng cách chuyển hướng lưu lượng truy cập đến và đi của các ngân hàng mục tiêu qua các máy chủ proxy được tin tặc lưu trữ trên mạng ẩn danh TOR.

Trong chiến dịch mới, Retefe hoạt động khi nạn nhân tải xuống tập tin Zip tự giải nén, bên trong chứa các trình cài đặt JavaScript đã được làm rối nhiều lớp. Sau khi phân tích code của trình cài đặt, các nhà nghiên cứu bảo mật phát hiện ra các mẫu Retefe này chứa một tham số mới được thiết kế để thực hiện khai thác EternalBlue.

Code này được lấy từ một bài viết đăng trên GitHub, nhưng cũng có chứa chức năng thu thập các chi tiết cấu hình của nạn nhân và phần cài đặt. Tuần trước, tham số này đã bị thay thế bằng một tham số mới chỉ chứa các chức năng thu thập thông tin trên.
“Công cụ EternalBlue tải về script PowerShell từ một máy chủ từ xa, từ đó thực thi tập tin chứa mã độc Retefe. Tuy nhiên, trình đặt này thiếu module hỗ trợ nhiệm vụ lan truyền Retefe qua EternalBlue, nên tránh được việc lây lan liên tiếp”, Proofpoint lưu ý.

“Mặc dù không lây lan rộng như các trojan ngân hàng khác như Dridex hay Trick, việc tập trung vào các ngân hàng Thụy Sĩ cho thấy nhóm tin tặc đứng sau Retefe nhắm vào các mục tiêu có tiềm năng cao. Ngoài ra, chúng tôi đang thấy sự gia tăng các cuộc tấn công của nhóm này, cùng với sự bổ sung công cụ khai thác EternalBlue sẽ càng tạo ra cơ hội phát tán hiệu quả trong các hệ thống mạng từ các mục tiêu ban đầu bị xâm nhập”, Proofpoint cho biết.

Gia Cát Linh (dịch từ Security Week)

Mã độc trên hệ thống không kết nối Internet vẫn có thể liên lạc với tin tặc

Mã độc trên hệ thống không kết nối Internet vẫn có thể liên lạc với tin tặc

Các nhà nghiên cứu Israel vừa phát minh ra một mã độc có thể di chuyển qua một hệ thống airgap (không kết nối Internet) bằng cách sử dụng tín hiệu hồng ngoại của một camera an ninh...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: