Các nhà nghiên cứu Gabor Szappanos và Andrew Brandt của Sophos (công ty an ninh mạng tại Anh) cho biết, dòng phần mềm độc hại Gootkit đã tồn tại hơn nửa thập kỷ. Đây là một loại Trojan có chức năng đánh cắp thông tin xác thực ngân hàng. Trong những năm gần đây, Gootkit đã nỗ lực cải tiến phương thức phát tán, cũng như cải tiến chính phần mềm độc hại dựa trên NodeJS.
Được mệnh danh là "Gootloader", hệ thống phân phối phần mềm độc hại mở rộng ra đời trong bối cảnh số lượng trường hợp lây nhiễm nhắm mục tiêu vào người dùng ở Pháp, Đức, Hàn Quốc và Mỹ tăng vọt.
Được ghi nhận lần đầu vào năm 2014, Gootkit là một nền tảng phần mềm độc hại dựa trên JavaScript có khả năng thực hiện một loạt các hành động độc hại bao gồm tấn công SQL injection, ghi lại các tổ hợp phím, chụp ảnh màn hình, quay video cũng như đánh cắp email và mật khẩu.
Trong những năm qua, công cụ của tội phạm mạng đã phát triển để đạt được các tính năng mới phục vụ cho việc đánh cắp thông tin. Bộ tải Gootkit được tái sử dụng để kết hợp với các mã độc tống tiền REvil/Sodinokibi (được báo cáo vào năm 2020).
Mặc dù, các chiến dịch sử dụng kỹ nghệ xã hội để phân phối các payload nhỏ độc hại, tuy nhiên Gootloader nâng nó lên một cấp độ cao hơn.
Chuỗi lây nhiễm sử dụng các kỹ thuật phức tạp liên quan đến việc lưu trữ các tệp ZIP độc hại trên các trang web thuộc các doanh nghiệp hợp pháp được xuất hiện trong số các kết quả hàng đầu của truy vấn tìm kiếm bằng cách sử dụng các phương pháp tối ưu hóa công cụ tìm kiếm (SEO) bị thao túng.
Hơn nữa, kết quả của công cụ tìm kiếm chỉ ra các trang web không có kết nối logic với truy vấn tìm kiếm, nghĩa là những kẻ tấn công phải sở hữu một mạng lưới rộng các trang web bị tấn công.
Các nhà nghiên cứu cho biết, kẻ tấn công sẽ xây dựng mã nguồn trang web cho phép kiểm tra vị trí địa lý của khách truy cập. Nếu khách truy cập trang web nằm ngoài vị trí mục tiêu, thì trang web sẽ hiển thị đúng nội dung. Ngược lại, trang web chuyển hướng tới nội dung giả mạo nếu khách truy cập đến từ vị trí địa lý nhắm tới.
Việc nhấp vào kết quả tìm kiếm sẽ đưa người dùng đến một trang giống như bảng thông báo giả mạo không chỉ khớp với các cụm từ tìm kiếm được sử dụng trong truy vấn ban đầu, mà còn bao gồm một liên kết đến tệp ZIP. Trong tệp Zip có chứa tệp JavaScript được làm rối mã có chức năng phát tán phần mềm độc hại.
Ngoài việc phân phối mã độc đống tiền REvil và trojan Gootkit, nhiều chiến dịch đã được phát hiện hiện đang tận dụng khung Gootloader để phát tán lén lút phần mềm độc hại tài chính Kronos ở Đức và công cụ hậu khai thác Cobalt Strike ở Mỹ.
Vẫn chưa rõ bằng cách nào mà những kẻ tấn công truy cập được vào các trang web để cài mã độc. Tuy nhiên, các nhà nghiên cứu đặt ra một số giả thiết rằng: kẻ tấn công đánh cắp mật khẩu bằng cách cài đặt phần mềm độc hại Gootkit, mua thông tin đăng nhập bị đánh cắp từ các thị trường ngầm hoặc khai thác các lỗ hổng bảo mật trong các plugin được sử dụng cùng với phần mềm hệ thống quản lý nội dung (CMS).
Phát hiện này đã được Microsoft thông báo lại trong một loạt các tweet. Hãng này lưu ý rằng đã chứng kiến nhiều cuộc “tấn công bàn phím” trên diện rộng bắt nguồn từ phần mềm độc hại Gootkit, được phân phối thông qua các lần tải xuống dưới dạng JavaScript trong tệp ZIP.
Gabor Szappanos, Giám đốc nghiên cứu mối đe dọa tại Sophos cho biết: Các nhà phát triển đằng sau Gootkit dường như đã chuyển nguồn lực từ việc chỉ cung cấp phần mềm độc hại tài chính của riêng họ sang việc tạo ra một nền tảng phân phối lén lút, phức tạp cho tất cả các loại payload (bao gồm cả mã độc tống tiền REvil). Điều này cho thấy tội phạm có xu hướng sử dụng lại các giải pháp đã được chứng minh của chúng, thay vì phát triển các cơ chế phân phối mới. Hơn nữa, thay vì chủ động tấn công các công cụ điểm cuối như một số nhà phân phối phần mềm độc hại vẫn làm, những người tạo ra Gootloader đã chọn các kỹ thuật lẩn tránh phức tạp để che giấu.
Thanh Bùi
13:00 | 17/02/2021
17:00 | 07/04/2021
11:00 | 08/02/2021
13:00 | 03/02/2021
14:00 | 23/03/2021
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024