Mã độc ngân hàng Terdot thêm khả năng đánh cắp tài khoản Facebook, Twitter và Gmail

14:00 | 23/11/2017 | HACKER / MALWARE

Mới đây, các nhà nghiên cứu của Công ty bảo mật Bitdefender đã phát hiện ra một loại phần mềm độc hại tinh vi dựa trên trojan ngân hàng Zeus, có khả năng đánh cắp nhiều thông tin tài khoản Facebook, Twitter và Gmail.

Mã độc ngân hàng Terdot thêm khả năng đánh cắp tài khoản Facebook, Twitter và Gmail

Terdot là trojan ngân hàng được phát triển vào giữa năm 2016 với mục đích ban đầu là thực hiện tấn công người đứng giữa, đánh cắp thông tin trên trình duyệt web của người dùng như thẻ tín dụng, thông tin đăng nhập và đưa những đoạn HTML độc hại vào trang web người dùng truy cập.

Tuy nhiên, các nhà nghiên cứu từ công ty bảo mật Bitdefender đã phát hiện ra Terdot được bổ sung tính năng mới trong các chiến dịch tấn công có chủ đích. Terdot lợi dụng các công cụ mã nguồn mở để giả mạo chứng thực SSL nhằm chiếm quyền truy cập vào các tài khoản mạng xã hội và thư điện tử, thậm chí mạo danh người dùng.

Mã độc Terdot thực hiện tấn công bằng cách sử dụng proxy người đứng giữa được tùy chỉnh cao, cho phép mã độc có thể can thiệp vào giữa bất kỳ truy cập nào của máy tính bị nhiễm. Bên cạnh đó, Terdot đã được bổ sung các tính năng cập nhật tự động, cho phép phần mềm độc hại có thể tải và thực thi các tệp theo yêu cầu của nhà điều hành.

Terdot đã nhắm mục tiêu tới các trang web ngân hàng của nhiều tổ chức Canada như Banque Nationale, PCFinancial, Desjardins, BMO (Ngân hàng Montreal) và Scotiabank,…

Terdot có thể đánh cắp tài khoản Facebook, Twitter và Gmail

Theo phân tích mới nhất, Terdot có thể nhắm mục tiêu tới các mạng xã hội bao gồm Facebook, Twitter, Google Plus, YouTube và các nhà cung cấp dịch vụ thư điện tử như Gmail, Microsoft và Yahoo Mail. Bitdefender lưu ý, phần mềm độc hại này tránh được việc thu thập dữ liệu liên quan đến VKontakte (vk.com) – mạng xã hội lớn nhất của Nga.

Nếu được nhấp chuột vào, mã độc sẽ thực thi mã JavaScript, từ đó tải và chạy các tập tin độc hại. Để tránh phát hiện, mã độc sử dụng một chuỗi các tập tin dropper, chèn mã, các trình tải về để tải mã độc Terdot theo các phần nhỏ.

Sau khi máy tính bị nhiễm, mã độc lây nhiễm vào tiến trình xử lý của trình duyệt để trực tiếp kết nối với Web proxy của chính nó, đọc truy cập của người dùng và thực hiện lây nhiễm. Mã độc cũng có thể đánh cắp thông tin xác thực bằng cách kiểm tra các yêu cầu của nạn nhân hoặc lây nhiễm Javascript độc hại vào phản hồi.

Terdot cũng có thể vượt qua những giới hạn của bảo mật tầng truyền tải (Transport Layer Security – TLS) bằng cách tạo CA riêng và tạo các chứng thực cho bất kỳ tên miền nào mà nạn nhân truy cập. Sau đó, bất kỳ dữ liệu nào mà nạn nhân gửi đến ngân hàng hoặc tài khoản mạng xã hội có thể bị Terdot chặn và sửa đổi theo thời gian thực, điều này cũng có thể cho phép nó lan truyền bằng cách đăng liên kết giả đến các tài khoản mạng xã hội khác.

Bitdefender cho biết, Terdot là một phần mềm độc hại phức tạp, dựa trên nền tảng của mã độc Zeus. Nó tập trung vào việc thu thập thông tin đăng nhập của các dịch vụ khác như mạng xã hội và dịch vụ thư điện tử. Điều này có thể biến Terdot thành một công cụ gián điệp mạng khó có thể phát hiện và xóa bỏ.

(theo The Hacker News)

‹ › ×

Tin liên quan

Mã độc #Đồng Tâm_Mỹ Đức khai thác lỗ hổng CVE-2017-0199

08:00 | 21/11/2017

Khi vụ việc Đồng Tâm - Mỹ Đức trở thành mối quan tâm của dư luận thì trên mạng xã hội đã xuất hiện một văn bản cung cấp chi tiết thông tin về vụ việc này. Điều đáng nói, văn bản này có chứa mã độc hại. Bài báo này tiến hành phân tích chi tiết mã độc #Đồng Tâm_Mỹ Đức.

Mã độc đào tiền ảo phát tán trên Facebook Messenger

09:00 | 22/12/2017

Ngày 18/12/2017, một mã độc đào tiền ảo nằm trong tập tin nén .zip bắt đầu lây lan nhanh chóng tại Việt Nam thông qua ứng dụng gửi tin nhắn Messenger của Facebook.

Cảnh báo rủi ro mất an toàn thông tin từ Black Friday

15:00 | 28/11/2018

Các mã độc Trojan chuyên tấn công vào hệ thống ngân hàng, tài chính (Banking Trojans) ngày càng gia tăng mục tiêu lên các trang thương mại điện tử nhằm mục đích đánh cắp dữ liệu khách hàng.

Hàng loạt tài khoản Twitter của người nổi tiếng bị tấn công

16:00 | 20/07/2020

Hàng loạt tài khoản Twitter của nhiều nhân vật cũng như thương hiệu nổi tiếng thế giới đồng loạt trở thành nạn nhân của vụ tấn công mạng quy mô lớn. Trong số này có tỷ phú Bill Gates, tỷ phú Elon Musk, cựu Tổng thống Mỹ Barack Obama, tỷ phú Warren Buffett, Apple….

Twitter của Thủ tướng Ấn Độ bị hack

12:00 | 10/09/2020

Twitter xác nhận tài khoản thuộc trang web cá nhân của Thủ tướng Ấn Độ Narendra Modi đã bị hack vào sáng 03/9/2020. Những người theo dõi tài khoản Twitter của ông đều nhận được lời kêu gọi đóng góp tiền.

Sử dụng chế độ bảo mật trong Gmail để bảo vệ thông tin nhạy cảm

12:00 | 23/09/2022

Gmail là dịch vụ thư điện tử phổ biến hiện nay với hàng triệu người sử dụng, do vậy việc đảm bảo an toàn thông tin cho người dùng được Google rất chú trọng phát triển với nhiều tính năng hỗ trợ. Trong đó, Confidential Mode hay được gọi là Chế độ bảo mật là một tính năng hữu ích trong việc thiết lập các tùy chọn email gửi đi. Tính năng này tập trung vào quyền riêng tư, cho phép người dùng đặt ngày hết hạn và mật mã cho thư điện tử.

Tin cùng chuyên mục

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.