Terdot là trojan ngân hàng được phát triển vào giữa năm 2016 với mục đích ban đầu là thực hiện tấn công người đứng giữa, đánh cắp thông tin trên trình duyệt web của người dùng như thẻ tín dụng, thông tin đăng nhập và đưa những đoạn HTML độc hại vào trang web người dùng truy cập.
Tuy nhiên, các nhà nghiên cứu từ công ty bảo mật Bitdefender đã phát hiện ra Terdot được bổ sung tính năng mới trong các chiến dịch tấn công có chủ đích. Terdot lợi dụng các công cụ mã nguồn mở để giả mạo chứng thực SSL nhằm chiếm quyền truy cập vào các tài khoản mạng xã hội và thư điện tử, thậm chí mạo danh người dùng.
Mã độc Terdot thực hiện tấn công bằng cách sử dụng proxy người đứng giữa được tùy chỉnh cao, cho phép mã độc có thể can thiệp vào giữa bất kỳ truy cập nào của máy tính bị nhiễm. Bên cạnh đó, Terdot đã được bổ sung các tính năng cập nhật tự động, cho phép phần mềm độc hại có thể tải và thực thi các tệp theo yêu cầu của nhà điều hành.
Terdot đã nhắm mục tiêu tới các trang web ngân hàng của nhiều tổ chức Canada như Banque Nationale, PCFinancial, Desjardins, BMO (Ngân hàng Montreal) và Scotiabank,…
Terdot có thể đánh cắp tài khoản Facebook, Twitter và Gmail
Theo phân tích mới nhất, Terdot có thể nhắm mục tiêu tới các mạng xã hội bao gồm Facebook, Twitter, Google Plus, YouTube và các nhà cung cấp dịch vụ thư điện tử như Gmail, Microsoft và Yahoo Mail. Bitdefender lưu ý, phần mềm độc hại này tránh được việc thu thập dữ liệu liên quan đến VKontakte (vk.com) – mạng xã hội lớn nhất của Nga.
Nếu được nhấp chuột vào, mã độc sẽ thực thi mã JavaScript, từ đó tải và chạy các tập tin độc hại. Để tránh phát hiện, mã độc sử dụng một chuỗi các tập tin dropper, chèn mã, các trình tải về để tải mã độc Terdot theo các phần nhỏ.
Sau khi máy tính bị nhiễm, mã độc lây nhiễm vào tiến trình xử lý của trình duyệt để trực tiếp kết nối với Web proxy của chính nó, đọc truy cập của người dùng và thực hiện lây nhiễm. Mã độc cũng có thể đánh cắp thông tin xác thực bằng cách kiểm tra các yêu cầu của nạn nhân hoặc lây nhiễm Javascript độc hại vào phản hồi.
Terdot cũng có thể vượt qua những giới hạn của bảo mật tầng truyền tải (Transport Layer Security – TLS) bằng cách tạo CA riêng và tạo các chứng thực cho bất kỳ tên miền nào mà nạn nhân truy cập. Sau đó, bất kỳ dữ liệu nào mà nạn nhân gửi đến ngân hàng hoặc tài khoản mạng xã hội có thể bị Terdot chặn và sửa đổi theo thời gian thực, điều này cũng có thể cho phép nó lan truyền bằng cách đăng liên kết giả đến các tài khoản mạng xã hội khác.
Bitdefender cho biết, Terdot là một phần mềm độc hại phức tạp, dựa trên nền tảng của mã độc Zeus. Nó tập trung vào việc thu thập thông tin đăng nhập của các dịch vụ khác như mạng xã hội và dịch vụ thư điện tử. Điều này có thể biến Terdot thành một công cụ gián điệp mạng khó có thể phát hiện và xóa bỏ.
(theo The Hacker News)
08:00 | 21/11/2017
09:00 | 22/12/2017
15:00 | 28/11/2018
16:00 | 20/07/2020
12:00 | 10/09/2020
12:00 | 23/09/2022
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024