Terdot là trojan ngân hàng được phát triển vào giữa năm 2016 với mục đích ban đầu là thực hiện tấn công người đứng giữa, đánh cắp thông tin trên trình duyệt web của người dùng như thẻ tín dụng, thông tin đăng nhập và đưa những đoạn HTML độc hại vào trang web người dùng truy cập.
Tuy nhiên, các nhà nghiên cứu từ công ty bảo mật Bitdefender đã phát hiện ra Terdot được bổ sung tính năng mới trong các chiến dịch tấn công có chủ đích. Terdot lợi dụng các công cụ mã nguồn mở để giả mạo chứng thực SSL nhằm chiếm quyền truy cập vào các tài khoản mạng xã hội và thư điện tử, thậm chí mạo danh người dùng.
Mã độc Terdot thực hiện tấn công bằng cách sử dụng proxy người đứng giữa được tùy chỉnh cao, cho phép mã độc có thể can thiệp vào giữa bất kỳ truy cập nào của máy tính bị nhiễm. Bên cạnh đó, Terdot đã được bổ sung các tính năng cập nhật tự động, cho phép phần mềm độc hại có thể tải và thực thi các tệp theo yêu cầu của nhà điều hành.
Terdot đã nhắm mục tiêu tới các trang web ngân hàng của nhiều tổ chức Canada như Banque Nationale, PCFinancial, Desjardins, BMO (Ngân hàng Montreal) và Scotiabank,…
Terdot có thể đánh cắp tài khoản Facebook, Twitter và Gmail
Theo phân tích mới nhất, Terdot có thể nhắm mục tiêu tới các mạng xã hội bao gồm Facebook, Twitter, Google Plus, YouTube và các nhà cung cấp dịch vụ thư điện tử như Gmail, Microsoft và Yahoo Mail. Bitdefender lưu ý, phần mềm độc hại này tránh được việc thu thập dữ liệu liên quan đến VKontakte (vk.com) – mạng xã hội lớn nhất của Nga.
Nếu được nhấp chuột vào, mã độc sẽ thực thi mã JavaScript, từ đó tải và chạy các tập tin độc hại. Để tránh phát hiện, mã độc sử dụng một chuỗi các tập tin dropper, chèn mã, các trình tải về để tải mã độc Terdot theo các phần nhỏ.
Sau khi máy tính bị nhiễm, mã độc lây nhiễm vào tiến trình xử lý của trình duyệt để trực tiếp kết nối với Web proxy của chính nó, đọc truy cập của người dùng và thực hiện lây nhiễm. Mã độc cũng có thể đánh cắp thông tin xác thực bằng cách kiểm tra các yêu cầu của nạn nhân hoặc lây nhiễm Javascript độc hại vào phản hồi.
Terdot cũng có thể vượt qua những giới hạn của bảo mật tầng truyền tải (Transport Layer Security – TLS) bằng cách tạo CA riêng và tạo các chứng thực cho bất kỳ tên miền nào mà nạn nhân truy cập. Sau đó, bất kỳ dữ liệu nào mà nạn nhân gửi đến ngân hàng hoặc tài khoản mạng xã hội có thể bị Terdot chặn và sửa đổi theo thời gian thực, điều này cũng có thể cho phép nó lan truyền bằng cách đăng liên kết giả đến các tài khoản mạng xã hội khác.
Bitdefender cho biết, Terdot là một phần mềm độc hại phức tạp, dựa trên nền tảng của mã độc Zeus. Nó tập trung vào việc thu thập thông tin đăng nhập của các dịch vụ khác như mạng xã hội và dịch vụ thư điện tử. Điều này có thể biến Terdot thành một công cụ gián điệp mạng khó có thể phát hiện và xóa bỏ.
(theo The Hacker News)
08:00 | 21/11/2017
09:00 | 22/12/2017
15:00 | 28/11/2018
16:00 | 20/07/2020
12:00 | 10/09/2020
12:00 | 23/09/2022
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
07:00 | 02/12/2024
Theo cảnh báo của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, các thủ đoạn lừa đảo tài chính trực tuyến đang gia tăng tại Việt Nam, nhất là chiêu trò giả mạo tổ chức tài chính để mời chào người dân vay tiền, từ đó chiếm đoạt thông tin và tài sản.
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
15:00 | 12/11/2024
Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025