Trickbot đang sử dụng Microsoft Excel để lấy cắp mật khẩu và dữ liệu trình duyệt web

Thanh Hương, Trương Khánh Hợp| 15/11/2018 18:12
Theo dõi ICTVietnam trên

Trojan ngân hàng, mã độc tấn công các tổ chức tài chính tín dụng, đã chuyển từ ăn cắp các thông tin tài chính của nạn nhân sang thông tin đăng nhập và lịch sử web

The Microsoft Excel app on a mobile phone with headphones plugged in

Phần mềm độc hại Trickbot, vốn được biết đến là tìm kiếm các thông tin về ngân hàng, hiện đang sử dụng tệp Microsoft Excel được trang bị mã độc hại để lấy cắp thông tin xác thực người dùng từ trình duyệt web.

Mô-đun mới của nó được gọi là pwgrab32 đang cố gắng ăn cắp các dữ liệu tự động điền, lịch sử duyệt web cũng như tên người dùng và mật khẩu từ trình duyệt và một số ứng dụng thông qua tệp Microsoft Excel độc hại.

Những kẻ tấn công đang lan truyền một tệp (có tên là Sep_report.xls) thông qua mã độc được viết bằng ngôn ngữ lập trình VBS Macro. Mã độc này được kích hoạt khi nạn nhân mở tài liệu. Khi Sep_report được mở, người dùng sẽ được nhắc "kích hoạt nội dung" trên Macro nhúng, công cụ kích hoạt và chạy tập lệnh độc hại.

Sau khi phần mềm độc hại tải xuống và chạy mô-đun pwgrab32, nó khởi chạy ba luồng để lấy thông tin đăng nhập từ Internet Explorer, Firefox và Chrome, một nhà nghiên cứu bảo mật của Fortinet, Xiaopeng Zhang, cho biết. Trong phiên bản của Zhang, luồng thứ tư cho Edge đã xuất hiện nhưng đã bị vô hiệu hóa.

Pwgrab32 sau đó thực hiện các chức năng để lấy cắp thông tin tự động điền từ trình duyệt web, thông tin thẻ tín dụng, cũng như thông tin đăng nhập như địa chỉ email, quốc gia, công ty, địa chỉ đường phố, tên đầy đủ và số điện thoại.

Nó đánh cắp tên người dùng và mật khẩu, cookie, lịch sử duyệt web và các bài đăng HTTP được lưu trữ. Tuy nhiên, nó không có khả năng ăn cắp mật khẩu từ các ứng dụng quản lý mật khẩu của bên thứ ba như Dashlane hay LastPass, theo các nhà nghiên cứu bảo mật của Trend Micro là Noel Anthony Llimos và Carl Maverick Pascual.

Một khi phần mềm độc hại hoàn thành quá trình này, nó sẽ chuyển sang thu thập mật khẩu từ ứng dụng thư Outlook cũng như các ứng dụng của giao thức truyền tập tin như FileZilla và WinSCP.

Chức năng mới của phần mềm độc hại này được các nhà nghiên cứu chú ý vào tháng trước khi Zhang thu được mẫu vào ngày 19 tháng 10.

"Các tác giả của phần mềm độc hại tiếp tục đầu tư vào cấu trúc mô-đun của Trickbot - khả năng cập nhật liên tục bằng cách tải xuống các mô-đun mới từ máy chủ C & C và thay đổi cấu hình của nó làm cho phần mềm độc hại đủ chín muồi để cập nhật", Noel Anthony Llimos và Carl Maverick Pascual nói. .

"Người dùng và doanh nghiệp có thể hưởng lợi từ các lá chắn bảo vệ sử dụng phương pháp tiếp cận nhiều lớp để giảm thiểu rủi ro do các mối đe dọa như trojan ngân hàng mang lại".

Thông thường là nhắm mục tiêu vào thông tin tài chính của nạn nhân, Trickbot đã sống và hoạt động từ năm 2016, được cho là sự tái sinh của mã độc 'Dyre'.

Bản chất mô-đun của phần mềm độc hại có nghĩa là những kẻ tấn công có thể mở rộng phần mềm độc hại sang một số khu vực, phát triển ra ngoài mục đích ban đầu của nó là một trojan ngân hàng.

Các mô-đun đáng chú ý khác mà nó đã phát triển trong vài năm gần đây bao gồm systeminfo32, thu thập dữ liệu trên hệ điều hành, thông tin CPU và bộ nhớ của nạn nhân, networkDll32, một mô-đun được mã hóa quét mạng và đánh cắp thông tin mạng.

Gần đây, Trickbot thậm chí còn đang xoay xở để ăn cắp ví Bitcoin. Một biến thể của Trickbot, được phát hiện năm ngoái, nhắm vào nền tảng trao đổi tiền điện tử Coinbase để lấy cắp thông tin đăng nhập và tiền của người dùng.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Ericsson muốn chọn Việt Nam là nơi phát triển các sản phẩm, công nghệ mới
    Chiều 25/11, Thủ tướng Phạm Minh Chính tiếp ông Borje Ekholm, Chủ tịch, Tổng Giám đốc Tập đoàn Ericsson (Thụy Điển) đang có chuyến thăm, làm việc tại Việt Nam.
  • Thủ tướng yêu cầu đẩy mạnh quản lý Nhà nước về thương mại điện tử
    Bộ TT&TT được giao phối hợp với các bộ, cơ quan liên quan nghiên cứu, đề xuất sửa đổi, bổ sung quy định pháp luật nhằm tăng cường chế tài xử lý, đình chỉ, ngăn chặn, thu hồi giấy phép hoạt động đối với các hành vi vi phạm pháp luật liên quan lĩnh vực thương mại điện tử.
  • Báo chí trước ngưỡng tự chủ tài chính: Nhìn từ năng lực marketing và truyền thông
    Báo chí Việt Nam đang tiến đến một ngưỡng quan trọng, khi Bộ Thông tin và Truyền thông đặt mục tiêu 100% cơ quan báo chí tự chủ tài chính vào năm 2025 [1]. Điều này đòi hỏi các cơ quan báo chí phải tự tạo ra nguồn thu nhập từ hoạt động của mình, mà không phụ thuộc vào ngân sách nhà nước. Nói một cách dễ hình dung hơn, báo chí phải tự vận hành như một doanh nghiệp thực thụ.
  • Tăng hiệu quả quản lý vận hành bất động sản với ứng dụng PropTech
    Trong xu thế phát triển mạnh mẽ của cuộc Cách mạng công nghệ 4.0, việc ứng dụng công nghệ vào lĩnh vực bất động sản đã mở ra một thị trường mới trong lĩnh vực này, thị trường công nghệ BĐS (PropTech), góp phần mang lại lợi ích cho các bên tham gia đầu tư bất động sản.
  • Đưa công nghệ vào thực hiện quy trình khám, chữa bệnh cho người dân
    Những năm gần đây, việc ứng dụng công nghệ thông tin trong công tác quản trị bệnh viện, bảo vệ, chăm sóc, nâng cao sức khỏe người dân có bước phát triển quan trọng. Ðiều này đặt nền móng xây dựng nền y tế thông minh với ba trụ cột chính là phòng bệnh, chăm sóc sức khỏe thông minh; khám, chữa bệnh thông minh và quản trị y tế thông minh.
Đừng bỏ lỡ
Trickbot đang sử dụng Microsoft Excel để lấy cắp mật khẩu và dữ liệu trình duyệt web
POWERED BY ONECMS - A PRODUCT OF NEKO