Các nhà nghiên cứu Gabor Szappanos và Andrew Brandt của Sophos (công ty an ninh mạng tại Anh) cho biết, dòng phần mềm độc hại Gootkit đã tồn tại hơn nửa thập kỷ. Đây là một loại Trojan có chức năng đánh cắp thông tin xác thực ngân hàng. Trong những năm gần đây, Gootkit đã nỗ lực cải tiến phương thức phát tán, cũng như cải tiến chính phần mềm độc hại dựa trên NodeJS.
Được mệnh danh là "Gootloader", hệ thống phân phối phần mềm độc hại mở rộng ra đời trong bối cảnh số lượng trường hợp lây nhiễm nhắm mục tiêu vào người dùng ở Pháp, Đức, Hàn Quốc và Mỹ tăng vọt.
Được ghi nhận lần đầu vào năm 2014, Gootkit là một nền tảng phần mềm độc hại dựa trên JavaScript có khả năng thực hiện một loạt các hành động độc hại bao gồm tấn công SQL injection, ghi lại các tổ hợp phím, chụp ảnh màn hình, quay video cũng như đánh cắp email và mật khẩu.
Trong những năm qua, công cụ của tội phạm mạng đã phát triển để đạt được các tính năng mới phục vụ cho việc đánh cắp thông tin. Bộ tải Gootkit được tái sử dụng để kết hợp với các mã độc tống tiền REvil/Sodinokibi (được báo cáo vào năm 2020).
Mặc dù, các chiến dịch sử dụng kỹ nghệ xã hội để phân phối các payload nhỏ độc hại, tuy nhiên Gootloader nâng nó lên một cấp độ cao hơn.
Chuỗi lây nhiễm sử dụng các kỹ thuật phức tạp liên quan đến việc lưu trữ các tệp ZIP độc hại trên các trang web thuộc các doanh nghiệp hợp pháp được xuất hiện trong số các kết quả hàng đầu của truy vấn tìm kiếm bằng cách sử dụng các phương pháp tối ưu hóa công cụ tìm kiếm (SEO) bị thao túng.
Hơn nữa, kết quả của công cụ tìm kiếm chỉ ra các trang web không có kết nối logic với truy vấn tìm kiếm, nghĩa là những kẻ tấn công phải sở hữu một mạng lưới rộng các trang web bị tấn công.
Các nhà nghiên cứu cho biết, kẻ tấn công sẽ xây dựng mã nguồn trang web cho phép kiểm tra vị trí địa lý của khách truy cập. Nếu khách truy cập trang web nằm ngoài vị trí mục tiêu, thì trang web sẽ hiển thị đúng nội dung. Ngược lại, trang web chuyển hướng tới nội dung giả mạo nếu khách truy cập đến từ vị trí địa lý nhắm tới.
Việc nhấp vào kết quả tìm kiếm sẽ đưa người dùng đến một trang giống như bảng thông báo giả mạo không chỉ khớp với các cụm từ tìm kiếm được sử dụng trong truy vấn ban đầu, mà còn bao gồm một liên kết đến tệp ZIP. Trong tệp Zip có chứa tệp JavaScript được làm rối mã có chức năng phát tán phần mềm độc hại.
Ngoài việc phân phối mã độc đống tiền REvil và trojan Gootkit, nhiều chiến dịch đã được phát hiện hiện đang tận dụng khung Gootloader để phát tán lén lút phần mềm độc hại tài chính Kronos ở Đức và công cụ hậu khai thác Cobalt Strike ở Mỹ.
Vẫn chưa rõ bằng cách nào mà những kẻ tấn công truy cập được vào các trang web để cài mã độc. Tuy nhiên, các nhà nghiên cứu đặt ra một số giả thiết rằng: kẻ tấn công đánh cắp mật khẩu bằng cách cài đặt phần mềm độc hại Gootkit, mua thông tin đăng nhập bị đánh cắp từ các thị trường ngầm hoặc khai thác các lỗ hổng bảo mật trong các plugin được sử dụng cùng với phần mềm hệ thống quản lý nội dung (CMS).
Phát hiện này đã được Microsoft thông báo lại trong một loạt các tweet. Hãng này lưu ý rằng đã chứng kiến nhiều cuộc “tấn công bàn phím” trên diện rộng bắt nguồn từ phần mềm độc hại Gootkit, được phân phối thông qua các lần tải xuống dưới dạng JavaScript trong tệp ZIP.
Gabor Szappanos, Giám đốc nghiên cứu mối đe dọa tại Sophos cho biết: Các nhà phát triển đằng sau Gootkit dường như đã chuyển nguồn lực từ việc chỉ cung cấp phần mềm độc hại tài chính của riêng họ sang việc tạo ra một nền tảng phân phối lén lút, phức tạp cho tất cả các loại payload (bao gồm cả mã độc tống tiền REvil). Điều này cho thấy tội phạm có xu hướng sử dụng lại các giải pháp đã được chứng minh của chúng, thay vì phát triển các cơ chế phân phối mới. Hơn nữa, thay vì chủ động tấn công các công cụ điểm cuối như một số nhà phân phối phần mềm độc hại vẫn làm, những người tạo ra Gootloader đã chọn các kỹ thuật lẩn tránh phức tạp để che giấu.
Thanh Bùi
13:00 | 17/02/2021
17:00 | 07/04/2021
11:00 | 08/02/2021
13:00 | 03/02/2021
14:00 | 23/03/2021
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024