Tin tặc sử dụng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

12:12 | 16/02/2017 | HACKER / MALWARE

Mới đây, các chuyên gia bảo mật Forcepoint Security Labs đã phát hiện ra hoạt động của nhóm tin tặc Carbanak qua một số dịch vụ của google.

Carbanak là một trong những nhóm tin tặc nổi tiếng (còn được gọi là Anunak), được biết đến với “thành tích” đánh cắp 1 tỷ USD từ hơn 100 ngân hàng trên 30 quốc gia vào năm 2015. Đây là một trong những tổ chức tội phạm không gian mạng hoạt động có tổ chức, liên tục nâng cao kỹ năng, chiến thuật của mình để thực hiện các hành vi phạm tội, tránh sự phát hiện của các mục tiêu tiềm năng và nhà chức trách.

Hiện Carbanak đã bị phát hiện qua việc sử dụng các dịch vụ khác nhau của Google để lây nhiễm và điều khiển (C&C) các máy của nạn nhân bằng mã độc.

Các nhà nghiên từ Forcepoint Security Labs cho biết, trong khi điều tra một hoạt động khai thác gửi thư lừa đảo như một file RTF đính kèm, họ đã phát hiện ra nhóm Carbanak đã hoạt động ẩn trong trang web bằng cách sử dụng dịch vụ của Google.

Tin tặc sử dụng dịch vụ Google để tự động hoá việc điều khiển nạn nhân

Nhà nghiên cứu bảo mật cao cấp Nicholas Griffin của Forcepoint cho biết: “Carbanak tiếp tục tìm kiếm các kỹ thuật ẩn danh mới để tránh bị phát hiện. Họ sử dụng Google như một kênh C&C độc lập, giúp tăng khả năng thành công so với việc tạo các domain mới hoặc sử dụng các domain không không có danh tiếng và không tin cậy”.

Các tài liệu RTF được phát hiện đã chèn object OLE có chứa mã VBScript (Visual Basic Script) đã liên kết với mã độc Carbanak từ trước và sử dụng tấn công Kỹ nghệ xã hội để lừa nạn nhân nhấp chuột vào một hình ảnh và truy cập nội dung.

Sau khi nạn nhân nhấp đúp chuột hình ảnh đó, một hộp thoại sẽ mở ra yêu cầu chạy tập tin unprotected.vbe. Nếu nạn nhân chạy tập tin, mã độc VBScript của Carbanak sẽ bắt đầu hoạt động. Mã độc này sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms.

Bên cạnh mã độc, các nhà nghiên cứu Forcepoint cũng phát hiện một môđun script “ggldr” được mã hóa bên trong tập tin .vbe cùng với các môđun VBScript khác, có khả năng sử dụng dịch vụ của Google để kiểm soát. Script ggldr sẽ gửi và nhận lệnh từ Google Apps Script, Google Sheets và Google Forms. Đối với người dùng bị nhiễm, Google Sheet sẽ tự động được tạo ra để quản lý từng nạn nhân.

Việc sử dụng các dịch vụ của bên thứ ba hợp pháp cho phép kẻ tấn công ẩn danh an toàn. Không may là các dịch vụ Google thường mặc định không bị chặn, vì vậy nó sẽ tăng khả năng thành công giúp những kẻ tấn công sẽ thiết lập một công cụ điều khiển và kiểm soát.

Forcepoint đã thông báo cho Google về vấn đề này và các nhà nghiên cứu của công ty đang làm việc với Hãng về việc lạm dụng các dịch vụ, đặc biệt là các dịch vụ web hợp pháp của Google.

‹ › ×

Tin liên quan

Quản lý tin nhắn rác

09:00 | 18/11/2014

Quản lý tin nhắn rác

Học viện Kỹ thuật mật mã tham gia Ngày hội tư vấn tuyển sinh - hướng nghiệp 2017

11:00 | 21/05/2017

Sáng 26/2/2017, tại Trường Đại học Bách khoa Hà Nội đã diễn ra Lễ khai mạc “Ngày hội tư vấn tuyển sinh - hướng nghiệp 2017”. Sự kiện do báo Tuổi trẻ phối hợp cùng Bộ GD-ĐT, Sở GD-ĐT Hà Nội và Trường Đại học Bách khoa Hà Nội tổ chức.

Ủy ban Khoa học, Công nghệ và Môi trường Quốc hội họp thẩm tra dự án Luật An toàn thông tin

00:00 | 20/05/2015

Ủy ban Khoa học, Công nghệ và Môi trường Quốc hội họp thẩm tra dự án Luật An toàn thông tin

Hơn 300.000 hệ thống mạng có lỗ hổng bảo mật

10:00 | 11/07/2016

Hơn 300.000 hệ thống mạng có lỗ hổng bảo mật

Tin cùng chuyên mục

Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến

14:00 | 24/04/2024

Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.

Vụ Công ty chứng khoán VNDIRECT bị tấn công, có thể là do mã độc tống tiền

16:00 | 26/03/2024

Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.