Terdot là trojan ngân hàng được phát triển vào giữa năm 2016 với mục đích ban đầu là thực hiện tấn công người đứng giữa, đánh cắp thông tin trên trình duyệt web của người dùng như thẻ tín dụng, thông tin đăng nhập và đưa những đoạn HTML độc hại vào trang web người dùng truy cập.
Tuy nhiên, các nhà nghiên cứu từ công ty bảo mật Bitdefender đã phát hiện ra Terdot được bổ sung tính năng mới trong các chiến dịch tấn công có chủ đích. Terdot lợi dụng các công cụ mã nguồn mở để giả mạo chứng thực SSL nhằm chiếm quyền truy cập vào các tài khoản mạng xã hội và thư điện tử, thậm chí mạo danh người dùng.
Mã độc Terdot thực hiện tấn công bằng cách sử dụng proxy người đứng giữa được tùy chỉnh cao, cho phép mã độc có thể can thiệp vào giữa bất kỳ truy cập nào của máy tính bị nhiễm. Bên cạnh đó, Terdot đã được bổ sung các tính năng cập nhật tự động, cho phép phần mềm độc hại có thể tải và thực thi các tệp theo yêu cầu của nhà điều hành.
Terdot đã nhắm mục tiêu tới các trang web ngân hàng của nhiều tổ chức Canada như Banque Nationale, PCFinancial, Desjardins, BMO (Ngân hàng Montreal) và Scotiabank,…
Terdot có thể đánh cắp tài khoản Facebook, Twitter và Gmail
Theo phân tích mới nhất, Terdot có thể nhắm mục tiêu tới các mạng xã hội bao gồm Facebook, Twitter, Google Plus, YouTube và các nhà cung cấp dịch vụ thư điện tử như Gmail, Microsoft và Yahoo Mail. Bitdefender lưu ý, phần mềm độc hại này tránh được việc thu thập dữ liệu liên quan đến VKontakte (vk.com) – mạng xã hội lớn nhất của Nga.
Nếu được nhấp chuột vào, mã độc sẽ thực thi mã JavaScript, từ đó tải và chạy các tập tin độc hại. Để tránh phát hiện, mã độc sử dụng một chuỗi các tập tin dropper, chèn mã, các trình tải về để tải mã độc Terdot theo các phần nhỏ.
Sau khi máy tính bị nhiễm, mã độc lây nhiễm vào tiến trình xử lý của trình duyệt để trực tiếp kết nối với Web proxy của chính nó, đọc truy cập của người dùng và thực hiện lây nhiễm. Mã độc cũng có thể đánh cắp thông tin xác thực bằng cách kiểm tra các yêu cầu của nạn nhân hoặc lây nhiễm Javascript độc hại vào phản hồi.
Terdot cũng có thể vượt qua những giới hạn của bảo mật tầng truyền tải (Transport Layer Security – TLS) bằng cách tạo CA riêng và tạo các chứng thực cho bất kỳ tên miền nào mà nạn nhân truy cập. Sau đó, bất kỳ dữ liệu nào mà nạn nhân gửi đến ngân hàng hoặc tài khoản mạng xã hội có thể bị Terdot chặn và sửa đổi theo thời gian thực, điều này cũng có thể cho phép nó lan truyền bằng cách đăng liên kết giả đến các tài khoản mạng xã hội khác.
Bitdefender cho biết, Terdot là một phần mềm độc hại phức tạp, dựa trên nền tảng của mã độc Zeus. Nó tập trung vào việc thu thập thông tin đăng nhập của các dịch vụ khác như mạng xã hội và dịch vụ thư điện tử. Điều này có thể biến Terdot thành một công cụ gián điệp mạng khó có thể phát hiện và xóa bỏ.
(theo The Hacker News)
08:00 | 21/11/2017
09:00 | 22/12/2017
15:00 | 28/11/2018
16:00 | 20/07/2020
12:00 | 10/09/2020
12:00 | 23/09/2022
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024