Ursnif là một mã độc xuất hiện vào năm 2014, đánh cắp hàng loạt dữ liệu giáo dục, tài chính và sản xuất tại Anh, Mỹ, Canada... Mã độc hoạt động mạnh trong năm 2016, trước khi trở lại và bùng nổ từ quý III/2017 với mục tiêu nhắm đến là các ngân hàng Nhật Bản.
Theo nhóm X-Force của IBM, tin tặc đã dùng Ursnif (còn gọi là Gozi) tấn công Triều Tiên, châu Âu, Úc và Nhật Bản trong nhiều năm. Bên cạnh đó, Ursnif còn nhắm đến các ngân hàng ở Tây Ban Nha, Ba Lan, Bulgari và Cộng hòa Séc trong năm 2017.
Tuy nhiên, các phân tích gần đây cho thấy, tin tặc chủ yếu tập trung tấn công hàng loạt ngân hàng Nhật Bản và các nhà cung cấp thẻ thanh toán kể từ tháng 9/2017. Với kỹ thuật tấn công mới, tin tặc đứng đằng sau Ursnif đã đẩy mạnh các chiến dịch phát tán thư rác để phát tán phần mềm độc hại.
Limor Kessem, cố vấn bảo mật của IBM cho biết: Ursnif hoạt động mạnh nhất trong lĩnh vực tài chính vào năm 2016 và vẫn duy trì trong năm 2017 khi trở lại. Dù cách thức tấn công của mỗi chiến dịch là khác nhau nhưng hầu như mục tiêu tấn công không thay đổi.
Tuy nhiên, nếu như trước đây Ursnif chỉ lây nhiễm thông qua việc phát tán thư rác và phần mềm chứa trojan, thì giờ đây nó còn nhắm mục tiêu người dùng webmail, lưu trữ đám mây, các nền tảng giao dịch điện tử và các trang web thương mại điện tử.
Các tác nhân đe dọa đã mở rộng và tin tặc đã sử dụng nhiều kỹ thuật khác nhau bao gồm: lấy dữ liệu từ các phần mềm bảo mật, lợi dụng lỗ hổng web để tấn công vào câu lệnh cơ sở dữ liệu thông qua chèn các đoạn mã độc vào SQL và chuyển hướng trang. Tin tặc còn sử dụng các tệp đính kèm giả mạo được gửi từ các nhà cung cấp dịch vụ tài chính tại Nhật Bản.
Kessem cho biết: Trong các thư rác, người dùng sẽ nhận được một liên kết HTML dẫn đến tệp lưu trữ (.zip) chứa JavaScript, nếu nhấn vào thì sẽ thực thi lệnh PowerShell kết nối máy chủ từ xa và thực hiện lây nhiễm mã độc vào thiết bị.
Các chiến dịch gần đây của Ursnif còn sử dụng kỹ thuật tinh vi hơn, đó là chỉ khởi động PowerShell sau khi người dùng đóng tệp chứa phần mềm độc hại. Tức là khi đã bấm vào thì dù có đóng tệp tin, mã độc vẫn bị lan truyền. Phương pháp này giúp phần mềm độc hại tránh được việc bị phát hiện.
Các nhà nghiên cứu quan sát thấy rằng, các chiến dịch thường diễn ra tuần hoàn theo chu kỳ, thường vào tối thứ 3 hàng tuần, tăng đột biến vào các ngày thứ 5 và thứ 6.
Lần đầu tiên bị phát hiện vào năm 2007, Ursnif đã lừa đảo trực tuyến hàng loạt ngân hàng ở các quốc gia nói bằng ngôn ngữ tiếng Anh. Trong năm 2010, mã nguồn của phần mềm độc hại này đã bị vô hiệu hóa bởi một nhóm tin tặc và tạo ra các trojan khác như Vawtrak và Neverquest.
Kessem giải thích: Tội phạm mạng có tổ chức ở Nhật Bản không phải quá lâu nhưng chúng luôn có đủ nguồn lực và thủ thuật để tấn công tinh vi hơn, kiếm tiền dễ dàng hơn và luôn gây bất ngờ cho người dùng và các chuyên gia. Đối với người dùng ít nhận thức về việc lừa đảo trực tuyến và không nắm chắc các kỹ thuật phòng tránh trong suốt phiên giao dịch ngân hàng thì chắc chắn tỉ lệ bị tấn công rất cao.
Ông nói thêm: Ngoài sử dụng mã độc Ursnif để tấn công, các nhóm tin tặc còn sử dụng các mã độc như Dridex và TrickBot để tổ chức các cuộc tấn công khác. Tuy nhiên, đã bị phát hiện với mục tiêu nhắm đến các ngân hàng ở 40 quốc gia, nhưng lại trừ Nhật Bản. Điều này cho thấy ngay cả trên Internet, các băng nhóm tội phạm mạng cũng phân chia thị trường riêng để tránh triệt tiêu lẫn nhau.
BM
(theo Tuổi trẻ)
16:00 | 15/05/2024
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024