Một sự đột biến mới của phần mềm độc hại đã được phát hiện mà tiếp tục lây nhiễm cho hàng trăm ngàn máy tính trên toàn thế giới và được cho là đánh cắp thông tin ngân hàng xã hội và trang web của người dùng.
Vài ngày trở lại, một danh sách 5 triệu kết hợp các địa chỉ Gmail và mật khẩu đã bị rò rỉ trực tuyến. Công cụ tìm kiếm khổng lồ, Google cho biết rằng các thông tin Gmail không đến từ các lỗ hổng bảo mật của hệ thống của nó, chứ không phải các thông tin đã bị đánh cắp bởi các chiến dịch và truy cập trái phép vào tài khoản người dùng lừa đảo.
Chỉ cần bây giờ, chúng tôi đi qua một sự cố tương tự, nơi bọn tội phạm mạng đang sử dụng một phần mềm độc hại đã bị tổn hại hàng ngàn người dùng Windows trên toàn thế giới trong một nỗ lực để ăn cắp tài khoản truyền thông xã hội, tài khoản trực tuyến và tài khoản ngân hàng Giây chứng nhận của họ.
Một nhà nghiên cứu Hy Lạp an vừa phát hiện ra một mẫu phần mềm độc hại thông qua một chiến dịch thư rác (bị bắt trong một honeypot của công ty), mục tiêu số lượng lớn các máy tính người sử dụng nhanh chóng. Ông đã nghiên cứu và công bố một phân tích kỹ thuật chi tiết của phần mềm độc hại trên blog của mình.
Sau khi đảo ngược kỹ sư tập tin mẫu phần mềm độc hại, ông phát hiện ra rằng tội phạm mạng đang sử dụng một sự kết hợp của phần mềm AutoIt (Tự động hóa các nhiệm vụ hằng ngày trên máy tính) và một "thương mại" Keylogger có tên là "Limitless Keylogger" để làm cho nó hoàn toàn không thể phát hiện FUD tức là từ phân tích tĩnh.
Keylogger là một loại quan trọng của chương trình phần mềm cho tội phạm mạng, trong đó ghi lại tất cả đầu vào gõ vào bàn phím và dễ dàng phát hiện mật khẩu cho các tài khoản email của người sử dụng, các tài khoản truyền thông xã hội và các tài khoản ngân hàng trực tuyến.
Ứng dụng độc hại này bắt tất cả các tổ hợp phím người dùng bấm và gửi chúng đến một địa chỉ email cụ thể liên quan đến tội phạm không gian mạng. Thêm thú vị, các phần mềm độc hại sử dụng AutoIt để tránh bị phát hiện bởi các chương trình chống virus.
Các phần mềm độc hại được phân phối trong các chiến dịch thư rác đến như là một tập tin thực thi WinRAR SFX với một biểu tượng tùy chỉnh mà giảm 4 tập tin độc hại vào máy tính của nạn nhân với các thuộc tính ẩn và hệ thống.
Các kho lưu trữ phần mềm độc hại bao gồm:
Ban đầu obfuscated AutoIt Script có kích thước 331MB, bởi vì nó có chứa rất nhiều nội dung rác, nhưng sau quá trình deobfuscate nó sẽ trở thành chỉ 55kbyte kích thước với mã độc hại sạch.
Nhà nghiên cứu tìm thấy rất nhiều chức năng và chức năng khác nhau trong các mã phần mềm độc hại cho phép những phần mềm độc hại để bảo vệ mình khỏi bị phát hiện.
Về kỹ thuật dự trữ Hơn nữa, ông phát hiện ra rằng phần mềm độc hại sẽ gửi dữ liệu thu thập được phím tắt cho tội phạm mạng thông qua máy chủ email SMTP. Vì vậy, ông ngửi toàn bộ cuộc nói chuyện của lưu lượng SMTP phần mềm độc hại và phát hiện ra rằng các keylogger đã gửi tất cả các thao tác bàn phím của người sử dụng, ảnh chụp màn hình, phục hồi dữ liệu (mật khẩu đã lưu từ nhiều ứng dụng / trình duyệt) để một ID email - "ontherun4sales@yandex.ru".
Ông cũng trích xuất email SMTP ID hardcoded tên và mật khẩu của địa chỉ email tương ứng Yandex từ mã nguồn phần mềm độc hại.
Nhà nghiên cứu nói SecNews, "Các phát hiện đã được thực hiện trong vài ngày qua và thấy rằng các phần mềm độc hại được là Hy Lạp được nhắm mục tiêu người dùng (trường hợp số tối thiểu)."
"Có thể một số tin tặc Indonesia có thể đã sử dụng các phần mềm độc hại có sẵn trên các trang web diễn đàn hacking Nga", họ nói. "và các mục tiêu được biết đến công ty từ ngành công nghiệp bán lẻ, dầu, các hãng hàng không vv"
Cuối cùng, các nhà nghiên cứu cũng tiết lộ một số máy chủ FTP trực tuyến sử dụng hack Google, nơi mà các dữ liệu đã được tải lên bởi các biến thể khác nhau của Limitless Logger của các nhóm hacker khác nhau.
Theo THN
Vài ngày trở lại, một danh sách 5 triệu kết hợp các địa chỉ Gmail và mật khẩu đã bị rò rỉ trực tuyến. Công cụ tìm kiếm khổng lồ, Google cho biết rằng các thông tin Gmail không đến từ các lỗ hổng bảo mật của hệ thống của nó, chứ không phải các thông tin đã bị đánh cắp bởi các chiến dịch và truy cập trái phép vào tài khoản người dùng lừa đảo.
Chỉ cần bây giờ, chúng tôi đi qua một sự cố tương tự, nơi bọn tội phạm mạng đang sử dụng một phần mềm độc hại đã bị tổn hại hàng ngàn người dùng Windows trên toàn thế giới trong một nỗ lực để ăn cắp tài khoản truyền thông xã hội, tài khoản trực tuyến và tài khoản ngân hàng Giây chứng nhận của họ.
Một nhà nghiên cứu Hy Lạp an vừa phát hiện ra một mẫu phần mềm độc hại thông qua một chiến dịch thư rác (bị bắt trong một honeypot của công ty), mục tiêu số lượng lớn các máy tính người sử dụng nhanh chóng. Ông đã nghiên cứu và công bố một phân tích kỹ thuật chi tiết của phần mềm độc hại trên blog của mình.
Sau khi đảo ngược kỹ sư tập tin mẫu phần mềm độc hại, ông phát hiện ra rằng tội phạm mạng đang sử dụng một sự kết hợp của phần mềm AutoIt (Tự động hóa các nhiệm vụ hằng ngày trên máy tính) và một "thương mại" Keylogger có tên là "Limitless Keylogger" để làm cho nó hoàn toàn không thể phát hiện FUD tức là từ phân tích tĩnh.
Keylogger là một loại quan trọng của chương trình phần mềm cho tội phạm mạng, trong đó ghi lại tất cả đầu vào gõ vào bàn phím và dễ dàng phát hiện mật khẩu cho các tài khoản email của người sử dụng, các tài khoản truyền thông xã hội và các tài khoản ngân hàng trực tuyến.
Ứng dụng độc hại này bắt tất cả các tổ hợp phím người dùng bấm và gửi chúng đến một địa chỉ email cụ thể liên quan đến tội phạm không gian mạng. Thêm thú vị, các phần mềm độc hại sử dụng AutoIt để tránh bị phát hiện bởi các chương trình chống virus.
Các phần mềm độc hại được phân phối trong các chiến dịch thư rác đến như là một tập tin thực thi WinRAR SFX với một biểu tượng tùy chỉnh mà giảm 4 tập tin độc hại vào máy tính của nạn nhân với các thuộc tính ẩn và hệ thống.
Các kho lưu trữ phần mềm độc hại bao gồm:
AutoIt script 'update.exe' của 331MB
Python kịch bản để "deobfuscate" kịch bản AutoIt
oziryzkvvcpm.AWX - Cài đặt cho kịch bản AutoIt
sgym.VQA - Một mã hóa phần mềm độc hại / Payload nhị phân
Python kịch bản để "deobfuscate" kịch bản AutoIt
oziryzkvvcpm.AWX - Cài đặt cho kịch bản AutoIt
sgym.VQA - Một mã hóa phần mềm độc hại / Payload nhị phân
Ban đầu obfuscated AutoIt Script có kích thước 331MB, bởi vì nó có chứa rất nhiều nội dung rác, nhưng sau quá trình deobfuscate nó sẽ trở thành chỉ 55kbyte kích thước với mã độc hại sạch.
Nhà nghiên cứu tìm thấy rất nhiều chức năng và chức năng khác nhau trong các mã phần mềm độc hại cho phép những phần mềm độc hại để bảo vệ mình khỏi bị phát hiện.
Về kỹ thuật dự trữ Hơn nữa, ông phát hiện ra rằng phần mềm độc hại sẽ gửi dữ liệu thu thập được phím tắt cho tội phạm mạng thông qua máy chủ email SMTP. Vì vậy, ông ngửi toàn bộ cuộc nói chuyện của lưu lượng SMTP phần mềm độc hại và phát hiện ra rằng các keylogger đã gửi tất cả các thao tác bàn phím của người sử dụng, ảnh chụp màn hình, phục hồi dữ liệu (mật khẩu đã lưu từ nhiều ứng dụng / trình duyệt) để một ID email - "ontherun4sales@yandex.ru".
Ông cũng trích xuất email SMTP ID hardcoded tên và mật khẩu của địa chỉ email tương ứng Yandex từ mã nguồn phần mềm độc hại.
Nhà nghiên cứu nói SecNews, "Các phát hiện đã được thực hiện trong vài ngày qua và thấy rằng các phần mềm độc hại được là Hy Lạp được nhắm mục tiêu người dùng (trường hợp số tối thiểu)."
"Có thể một số tin tặc Indonesia có thể đã sử dụng các phần mềm độc hại có sẵn trên các trang web diễn đàn hacking Nga", họ nói. "và các mục tiêu được biết đến công ty từ ngành công nghiệp bán lẻ, dầu, các hãng hàng không vv"
Cuối cùng, các nhà nghiên cứu cũng tiết lộ một số máy chủ FTP trực tuyến sử dụng hack Google, nơi mà các dữ liệu đã được tải lên bởi các biến thể khác nhau của Limitless Logger của các nhóm hacker khác nhau.
Theo THN
