Phần lớn các phiên bản phần mềm độc hại này sẽ triển khai trên các máy nạn nhân để thu thập thông tin và ăn cắp thông tin đăng nhập, sau đó sẽ được gửi tới máy chủ điều khiển và kiểm soát của tin tặc.
Khi dữ liệu liên quan đến tài khoản tài chính bị đánh cắp và chuyển giao, thông tin này sẽ được sử dụng để cướp tài khoản ngân hàng và thực hiện hành vi trộm cắp danh tính hoặc sẽ được chuẩn bị để bán trên Dark Web.
TrickBot, Emotet, BackSwap và MysteryBot là một số mã độc ngân hàng phổ biến nhất hiện nay.
Sử dụng mã độc tài chính là xu hướng mới thay vì các kỹ thuật gián điệp tàng hình, theo đó, các mã độc tự ngụy trang như một hệ thống an ninh ngân hàng hợp pháp.
Hôm thứ 3, các nhà nghiên cứu của IBM X-Force cho biết mã độc CamuBot giả mạo như các mô-đun bảo mật được các ngân hàng yêu cầu cho các giao dịch trực tuyến.
Mã độc dường như đang tập trung vào các ngân hàng Braxin hiện nay. Limor Kessem, Cố vấn an ninh điều hành toàn cầu tại IBM Security cho rằng các ngân hàng là mục tiêu chính mà các đối tượng nhắm đến.
CamuBot xuất hiện lần đầu tháng Tám. Phần mềm độc hại mới được phát hiện bởi IBM khi chúng thực hiện một loạt các cuộc tấn công tinh vi, nhắm mục tiêu đến các công ty và các tổ chức khu vực công.
Các đối tượng điều hành phần mềm độc hại bắt đầu bằng cách tiến hành thăm dò cơ bản để tìm các doanh nghiệp được kết nối với ngân hàng thuộc diện có nguy cơ. Sau đó chúng tiến hành gọi cho nhân viên doanh nghiệp, người có khả năng biết thông tin tài khoản ngân hàng.
Trong khi giả mạo như một nhân viên ngân hàng, một tội phạm liên quan đến kế hoạch này sau đó cố gắng hướng nạn nhân đến một miền trực tuyến để 'kiểm tra trạng thái' của một mô-đun bảo mật.
Đương nhiên, 'kiểm tra' này sẽ hiển thị mô-đun - sử dụng biểu trưng ngân hàng và bảng màu làm cho nó có vẻ là phần mềm bảo mật hợp pháp - cần cập nhật.
Các nạn nhân sau đó được hướng dẫn để cài đặt một mô-đun bảo mật "mới", thực chất là cài đặt Trojan CamuBot.
Chúng sẽ cài đặt một ứng dụng Windows giả, có biểu trưng của ngân hàng mục tiêu. CamuBot sau đó ghi các tệp động vào thư mục Windows để thiết lập mô-đun proxy SOCKS dựa trên SSH, cũng như thêm chính nó vào Tường lửa Windows để xuất hiện tin cậy.
Các nạn nhân sau đó được chuyển hướng đến một trang web lừa đảo, nơi họ được yêu cầu đăng nhập bằng thông tin ngân hàng của họ. Tên miền này sau đó gửi thông tin tài khoản đến các nhân tố đe dọa phía sau CamuBot.
"Mô-đun proxy được nạp và thiết lập chuyển tiếp cổng", IBM nói. Trong trường hợp của CamuBot, đường hầm cho phép kẻ tấn công điều khiển lưu lượng truy cập của chính họ thông qua máy bị nhiễm và sử dụng địa chỉ IP của nạn nhân khi truy cập vào bị xâm phạm. tài khoản ngân hàng."
Kiên nhẫn hướng dẫn nạn nhân các thủ tục lừa đảo qua mạng, khi đã thực hiện xong, tin tặc cắt liên lạc.
Xác thực sinh trắc học, được sử dụng khá thường xuyên để bảo vệ tài khoản ngân hàng trực tuyến, cũng có thể bị xâm phạm.
Theo IBM, phần mềm độc hại có thể tìm nạp và cài đặt trình điều khiển cho các thiết bị và nhà điều hành xác thực có thể yêu cầu các nạn nhân bật chia sẻ từ xa. Điều này, đến lượt nó, cho phép các kẻ tấn công mạng đánh chặn và ăn cắp mật khẩu một lần được tạo ra để xác thực.
Các nhà nghiên cứu bảo mật mạng cho rằng phần lớn các cuộc tấn công đang diễn ra ở Brazil, và không có mặt ở các quốc gia khác. Tuy nhiên điều này có thể thay đổi trong tương lai.
Tháng trước, các cuộc tấn công mạng đã gióng lên hồi chuông cảnh tỉnh các tổ chức tài chính cần phải bảo vệ an ninh mạng tốt. Trong một vụ khủng bố ngân hàng táo bạo, các đối tượng đã kiếm được 13,5 triệu USD từ ngân hàng lâu đời nhất của Ấn Độ, Cosmos.
Trong một cuộc tấn công hai giai đoạn, các giao dịch SWIFT gian lận được thực hiện trên nhiều quốc gia cùng với một làn sóng giao dịch thẻ ghi nợ trên khắp Ấn Độ. Một số tiền đã được chuyển đến Hồng Kông.
Cuộc tấn công đã được kết nối với Lazarus, một nhóm tấn công được cho là có nguồn gốc ở Bắc Triều Tiên.
(Nguồn: http://ictvietnam.vn)